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1 Omfattning 

Det här dokumentet innehåller riktlinjer för informationssäkerhet, 
utöver dem som finns i ”Riktlinjer säkerhetsskydd”. Dokumentet 
vänder sig i första hand till dem som leder it-verksamhet och 
informationssäkerhet i Stockholms stad. Riktlinjerna ska läsas 
tillsammans med övriga program och riktlinjer inom området it och 
säkerhet. 

Riktlinjerna har samma rubriker som Svensk Standard- 
International Organization for Standardization/ International 
Electrotechnical Commission (SS-ISO/IEC 27002:2005), vilket 
innebär att stadens regler har anpassats internationellt. Varje kapitel 
och underkapitel inleds med ett förklarande syfte och beskriver 
VAD som ska uppnås. Därefter följer detalj anvisningar för HUR 
syftet ska uppnås. 
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Inledning 

Information utgör en av Stockholms stads viktigaste resurser. 
Staden förfogar över mycket stora mängder information som är 
skapad, lagrad, förvarad och bearbetad genom århundraden. 
Kunskap och kompetens hos stadens medarbetare är en annan 
viktig informationskälla. Den information som staden ansvarar för 
måste skyddas, vare sig den finns i historiska dokumentsamlingar, 
är lagrad i informationssystem eller förmedlas muntligt. 

Hot mot stadens information förekommer i olika former. Bränder, 
vattenläckage, stölder, förfalskning och bedrägerier är bara några 
exempel. It och internet har blivit en arena för försäljning av varor, 
hot och utpressningar, stölder och bedrägerier - samma sorts 
kriminalitet som finns utanför den digitala världen. 

It har förändrats från att ha varit ett stöd, till att vara en 
förutsättning för verksamheterna. Det är därför viktigt att den 
som har ett verksamhetsansvar också identifierar beroendet av it för 
att kunna genomföra sina uppgifter även vid en kris, katastrof eller 
när informationssystemen inte fungerar. Allmänhetens rätt till insyn 
i den kommunala förvaltningen är ytterligare en orsak till att hålla 
god ordning på vår information. Informationssäkerhet handlar om 
hur staden ska minska sannolikheten för, eller konsekvenserna av, 
uppkomna eller identifierade hot mot den information staden är 
skyldig att skydda. Dessa riktlinjer anger på vilket sätt 
verksamheterna ska agera för att initiera, införa, behålla och 
förbättra informationssäkerheten i staden. De anger de lägsta 
kraven vid utveckling eller inköp av nya system och målet för 
redan driftsätt system. 


Irene Lundquist Svenonius 
Stadsdirektör 
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1.1 Processinriktning 

PDCA (Plan Do Check Act) utgör grunden för arbetet med 
informationssäkerhet i Stockholms stad. Det bygger på att 
företrädare för verksamhet, it och säkerheten arbetar 
processorienterat för att upprätthålla och förbättra kvaliteten i 
arbetet och i verksamheten. Målet är att nå ständiga förbättringar. 

Kvalitet 



P, Plan (planera) 

Planera for att införa säkerhetshöjande 
åtgärder 

D, Do (genomföra) 

Genomfor de säkerhetshöjande 
åtgärderna 

C, Check (kontrollera) 

Kontrollera att målen med de 

säkerhetshöjande åtgärderna uppfylls 

A, Act (agera) 

Analysera och utvärdera införandet. Ta 
fram forslag på nya säkerhetshöjande 
åtgärder 
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1.2 Roller 

Stadsdirektör 

Fastställer regler, riktlinjer och fortsatt utveckling av 
säkerhetsarbetets praktiska hantering. 

Beslutar om avsteg från dessa riktlinjer. 

Utser informationssäkerhetschef. 

Informationssäkerhetschef vid stadsledningskontoret 

Underställd säkerhetschefen i säkerhetsfrågor. 
Konceminformationssäkerhetschef inom Stadshus AB. 
Kontaktperson för externa myndigheter i frågor som rör 
informationss äkerhet. 
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Samordnar stadsövergripande aktiviteter inom 
informationssäkerhet och är rådgivare för förvaltningar och 
bolag. 

Granskar, och vid behov reviderar, Riktlinje för 
informationssäkerhet årligen för fastställande av 
stadsdirektören. 

Leder förvaltningsobjektet it-säkerhet. 


Nämnd/Bolag 

ansvarar för att 

it-verksamheten inom nämnden bedrivs med rätt krav på 
säkerhet, skydd av personlig integritet och förtroende hos 
allmänheten 

hantering av personuppgifter sker enligt offentlighets- och 
sekretesslagen samt personuppgiftslagen 
information som rör egen verksamhet i gemensamma 
system är korrekt 

de program och riktlinjer som utfärdas av 
stadsledningskontoret sprids, förstås och används inom 
förvaltningar och bolag. 

Förvaltnings- och bolagschef 

ansvarar för att 

utse samordnare av informationssäkerhet 

resurser avsätts för att möta de hot som kan uppstå i den 

egna verksamheten 

all berörd personal har tillräcklig utbildning och tydliga 
instruktioner för att kunna genomföra sina arbetsuppgifter i 
samband med it på ett effektivt och säkert sätt 
system och säkerhetslösningar som tagits fram av den egna 
organisationen granskas av oberoende part 
verksamheten följer stadens regler med hjälp av 
intemkontroller 

kontroll och uppföljning av arbetssökandes referenser och 
formella meriter, till exempel CV, meritförteckning och 
yrkeslegitimation 

upphandlade uppdragstagare och tredjepartsanvändare 
tillämpar säkerhet enligt stadens riktlinjer och rutiner 
alla anställda, elever samt kontrakterad personal kan hantera 
information samt resurser för informationsbehandling på ett 
säkert sätt 
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det finns en fastställd rutin för personal som avslutar eller 
ändrar sin anställning. 


Informationssäkerhetssamordnare 

Granskar och kan föreslå förändringar av förvaltningens 
eller bolagets förslag till informationslösningar. 

Granskar och godkänner begäran om ändring som riktas till 
externa leverantörer. 

Sprider information och kunskap inom den egna 
förvaltningen/bolaget om stadens arbete med 
informationss äkerhet. 

Är kontaktperson gentemot stadens 
informationssäkerhetschef. 

Ser till att nödvändiga instruktioner utformas och beslutas. 
Samordnar och följer upp arbetet med informationssäkerhet 
inom den egna förvaltningen/bolaget. 

Rapporterar allvarligare incidenter till stadens 
informationssäkerhetschef. 

Medverkar i arbetet med årliga Risk- och 
sårbarhetsanalyser. 


1.3 Avgränsningar 

Riktlinjerna reglerar inte hanteringen av information som omfattas 
av säkerhetsskyddslagstiftningen. (Se Riktlinjer säkerhetsskydd.) 

1.4 Stadens styrande dokument 


Dokument 

Diarienummer 

Trygghets- och 

Säkerhetsprogram för 

Stockholms stad 2013-2016 

307-643/2012 

it-program - Ett program för 
digital förnyelse - 2013-2018 

031-786/2012 
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2 Termer och definitioner 


Begrepp 

Beskrivning 

Autenticering 

Verifiering av uppgiven identitet. 

Avbrottsplan 

(it) 

Plan för hur driften ska återupptas 
efter driftstörning eller då it-system 
inte fungerar som de ska. 

Avbrottsplanen baseras på 
kontinuitetsplanen. 

Identitet 

Unik beteckning för en viss 
användare. 

Incident 

Säkerhetshändelse som kan få eller 
har fått allvarliga konsekvenser för 
verksamheten. 

Informations- 

klassificering 

Ett formellt sätt att fastställa rätt 
skyddsnivå för ett it-system. Uttrycks 
i en så kallad säkerhetsprofil. 

Informations¬ 

tillgångar 

Stadens skyddsvärda 

informationsrelaterade tillgångar. Exempel 
på informationstillgångar: 

-Information (databaser, filer, metodik, 
dokument 

-Program (tillämpningar, operativsystem) 
Tjänster (nätförbindelser, abonnemang) 
-Fysiska tillgångar (datorer, datamedia, 
lokala nätverk) 

it-system 

Består av datorer, tillbehör, 
minnesenheter, program, 
kommunikationsutrustningar samt 
metoder och procedurer som har till 
uppgift att genomföra elektronisk 
behandling av information. 

Kontinuitets- 
plan (för 
verksamheten) 

Planen beskriver hur verksamheten 
ska bedrivas när identifierade, kritiska 
verksamhetsprocesser allvarligt 
påverkas av störning under en längre, 
specificerad tidsperiod. 


Stadsledningskontoret 

Ragnar Östbergsplan 1 
10535 STOCKHOLM 
Telefon 08 508 29 355 
Växel 08 508 29 000 
registratur-kfks@stockholm.se 
www.stockholm.se 













Stockholms 

stad 


Riktlinje 
Sida 12 (82) 



Logg 

Information om de operationer som 
utförs i ett it-system. Tre typer av 
loggar är aktuella: Säkerhetslogg, 
systemlogg och transaktionslogg. 

Mobile Device 
Management 

Mobile Device Management (MDM) 
är programvaror som säkrar, 
övervakar och styr användningen av 
mobila enheter i mobiloperatörers nät 
och organisationers tråd- eller 
radionät. MDM funktionalitet 
innehåller vanligen over-the-air 
distribution av applikationer, data och 
konfigurationsinställningar för alla 
typer av mobila enheter, inklusive 
mobiltelefoner, smarttelefoner, 
bärbara pekdatorer och mobila 
datorer. Det gäller såväl företagsägda 
enheter och enheter som ägs av 
anställda i staden. Genom att 
kontrollera och skydda data och 
konfigurationsinställningar för alla 
mobila enheter i nätverket, kan MDM 
minska supportkostnader och risker. 
Avsikten med MDM är att optimera 
funktionaliteten och säkerheten i ett 

mobilt kommunikationsnät och 
samtidigt minimera kostnader och 
driftstopp. 

Objekts- 

ansvarig-it 

Den roll på 

förvaltningsorganisationens 
budgetnivå som har det övergripande 
ekonomiska ansvaret för att tillgodose 
verksamhetens behov av lämpligt IT- 
stöd enligt ställda krav samt att IT- 
stödet följer gällande lagar och 
förordningar. Ingår i 
förvaltningsobjektets styrgrupp. 
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Objekts¬ 

ansvarig 

verksamhet 

Den roll på 

förvaltningsorganisationens 
budgetnivå som har det övergripande 
ekonomiska ansvaret för att 
verksamheten har behovsanpassade 
verksamhetsstöd samt att 
förvaltningsobjektet följer gällande 
lagar och interna styrdokument. Ingår 
i förvaltningsobjektets styrgrupp. 

Riktighet 

Åtgärder för att astadkomma rätt 
kvalitet i informationen och för att 
information inte förändras oavsiktligt, 
av obehöriga eller genom tekniska fel. 

Risk 

Effekten av osäkerhet när det gäller 
våra mål. Utgör med andra ord en 
värdering av olika händelser som kan 
inträffa och som har konsekvenser för 
något som är skyddsvärt. En risk 
innehåller de tre delkomponenterna 
sannolikhet, konsekvens och orsak. 

Risk- och 

sårbarhets- 
analys samt 
kontinuitets- 
hantering 

Anpassar analysarbetet till 
verksamheten inom förvaltningar och 
bolag. Analysen utgår från 
verksamheternas betydelse för dem 
som bor, besöker eller verkar i staden. 

Rätt organisation ska göra rätt saker 
med rätt resurser. 

Riskanalys 

Process som identifierar risker och 
avgör risknivån. 

Risknivå 

Storleken på en risk eller 
kombinationen av risker, uttryckt i 
termer av en kombination av 

konsekvenser och dess sannolikhet. 

Sekretess 

Skydd mot obehörig åtkomst av 
information. Förbud att röja uppgift, 
vare sig det sker muntligt eller genom 
att handlingen lämnas ut. I det här 
dokumentet ersätts begreppet med 

o 

Atkomstbegränsning. 

SLA (Service 

Level 

Agreement) 

Ett Service Level Agreement (SLA) 
är en överenskommelse mellan en IT- 

leverantör och en kund. Den beskriver 
detaljerna på tjänsterna som 
leverantören levererar till kunden. 

Spårbarhet 

Möjligheten att fastställa vem som 
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gjort vad eller att kunna verifiera 
orsaken till en händelse. 

Systemlogg 

Loggfil som innehåller händelser 
utförda av systemkomponenter i 
operativsystemet. Om till exempel en 
drivrutin eller någon annan 
systemkomponent inte kan läsas in 
när programmet startas, loggas detta i 
systemloggen. De typer av händelser 
som loggas av systemkomponenter är 
förbestämda av operativsystemet. 

Sårbarhet 

Bristande skydd av en tillgång som är 
utsatt för hot. 

Säkerhet 

Säkerhet innebär skydd mot och 
förmåga att hantera konsekvenser av 
oönskade händelser och dess skadliga 
effekter på människor, egendom och 
miljö inom stadens ansvarsområden. 

Säkerhetslogg 

Loggfil som innehåller giltiga och 
ogiltiga inloggningsförsök samt 
händelser med anknytning till 
användningen av en resurs, till 
exempel att skapa, öppna eller ta bort 
filer eller andra objekt. 

Säkerhetsprofil 

Alla it-system har ett skyddsbehov. 

Genom att klassificera informationen 
utifrån åtkomstbegränsning, riktighet, 
tillgänglighet och spårbarhet får vi en 
säkerhetsprofil. Den avgör vilka 
säkerhetskrav som gäller för att få 
tillgång till information. 

Tillgänglighet 

o 

Åtgärder för att säkra drift och 
funktionalitet. 

Transaktions- 

logg 

Loggfil som innehåller händelser i ett 
it-system, till exempel om vem som 
attesterat vilket belopp vid vilken 
tidpunkt. 

o 

Atkomst- 

begränsning 

o 

och Atkomst- 
/behörighets- 
kontroll 

Reglerar och kontrollerar en 
användares åtkomst till olika 
informationstillgångar samt skyddar 
information och program så att de 
endast är tillgängliga utifrån (roll-) 
behörighet. 
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3 Riktlinjens struktur 

3.1 Avsnitt 

Riktlinjerna innehåller femton avsnitt, som vart och ett innehåller 
ett antal huvudområden för säkerhet (antalet anges i parentes). 

1) Omfattning (4) 

2) Termer och definitioner 

3) Riktlinjens struktur (2) 

4) Riskbedömning och riskhantering (2) 

5) Säkerhetspolicy (1) 

6) Organisation av informationssäkerheten (2) 

7) Hantering av tillgångar (2) 

8) Personalresurser och säkerhet(3) 

9) Fysisk och miljörelaterad säkerhet (2) 

10) Styrning av kommunikation och drift (10) 

11) Styrning av åtkomst (7) 

12) Anskaffning, utveckling och underhåll av informationssystem 

( 6 ) 

13) Hantering av informationssäkerhetsincidenter (2) 

14) Kontinuitetsplanering för verksamheten (1) 

15) Efterlevnad (3) 

Avsnittens ordningsföljd är inget uttryck för deras betydelse. 
Beroende på omständigheterna kan alla avsnitt vara betydelsefulla. 
Inte heller är listorna i denna standard i prioritetsordning, såvida 
det inte särskilt anges. 

3.2 Huvudområden för säkerhet 

Varje huvudområde för säkerhet innehåller ett syfte som anger vad 
som bör uppnås och med vilken eller vilka säkerhetsåtgärder. 
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4 Riskbedömning och 
riskbehandling 

4.1 Bedömning av säkerhetsrisker 

En risk är osäkerhetens effekt på våra mål. Den utgör med andra 
ord en värdering av olika händelser som kan inträffa och som har 
konsekvenser för något som är skyddsvärt. En risk består därmed 
av de tre delkomponenterna sannolikhet, konsekvens och orsak. 
Den identifieras genom en risk- och sårbarhetsanalys. 

Stockholms stad har tagit fram en modell för hur man genomför en 
riskanalys. Mer information finns hos stadsledningskontorets 
säkerhetsenhet. 

Det är inte enbart informationssystem som ska analyseras utifrån 
modellen, utan även viss verksamhet. Riskanalysen ska ge svar på 
följande frågor: 

Vilka uppdrag/uppgifter är viktigast? 

Vad kan gå fel? 

Hur sannolikt är detta? 

Hur stor blir skadan (konsekvenser)? 

Vilka resurser kräver uppdraget/uppgiften? 

Konsekvens 



Sannolikhet 

Riskanalysen ska revideras årligen och när verksamheten eller 
förutsättningarna för verksamheten väsentligt förändras. 
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4.2 Behandling av säkerhetsrisker 

De sårbarheter som identifieras i riskanalysen ska hanteras. Det gör 
man genom att 

- genomföra åtgärder som till en acceptabel nivå minskar 
konsekvensen av eller sannolikheten för att händelsen ska 
inträffa 

- acceptera riskerna om de inte strider mot lagstiftning, stadens 
regler eller stadens kriterier för riskacceptans 

- undvika aktiviteter som kan orsaka att identifierade risker 
uppstår 

- överföra risken till andra parter, till exempel försäkringsbolag 
eller leverantörer. 

Alla system och verksamheter har risker. Därför är det viktigt att 
göra en risk- och sårbarhetsanalys (RSA) för att kunna identifiera 
och prioritera risker. Om till exempel en lagöverträdelse 
identifieras ska den åtgärdas omedelbart. 

När de åtgärder, som krävs för att minska en risk, inte är 
ekonomiskt försvarbara eller om de är så omfattande att de inte går 
att genomföra praktiskt, kan stadsdirektören fatta beslut om avsteg 
från dessa riktlinjer. Beslutet tas efter en riskanalys där man har 
identifierat riskerna och ansvaret för hanteringen. Ett beslut om 
riskacceptans måste innehålla 

- datum för beslutet 

- beslutets giltighetstid 

- vem som har fattat beslutet 

- vem som har föredragit ärendet 

- beskrivning av risken som accepteras 

- motiv till beslutet. 
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5 Säkerhetspolicy 

Trygghets- och säkerhetsprogram för Stockholms stad. (307-643- 
2012.) innehåller bland annat stadens planering för 
informations s äkerheten 

”Nämnder och bolag ska ge all information adek\’at skydd, oavsett 
var den finns. De ska också ha en utpekad 
informationssäkerhetssamordnare som samordnar 
informationssäkerhetsarbetet inom egen nämnd eller bolag. 

Informationshantering 

Stockholms stad ska arbeta med informationssäkerhet. Målet är att 
korrekt information ska finnas tillgänglig för behöriga på ett 
spårbart sätt när den behövs. För att nå målet måste vi värdera 
informationen utifrån verksamheternas krav på informationens 
åtkomstbegränsning, tillgänglighet, riktighet och spårbarhet. 

Alla som hanterar information har ett ansvar att upprätthålla 
informationssäkerheten i enlighet med de riktlinjer som finns. 

Arbetet omfattar förtroendevalda, anställda och i viss mån även 
skolelever och leverantörer (konsulter/entreprenörer). ” 

Informationssäkerhet handlar om 

- åtkomstbegränsning (sekretess) - skydd mot obehörig 
åtkomst av information 

- riktighet - åtgärder för att åstadkomma rätt kvalitet på 
information 

- tillgänglighet - åtgärder för att säkra drift och funktionalitet 

- spårbarhet - möjlighet att fastställa vem som gjort vad eller 
att kunna verifiera orsaken till en händelse. 

Stadens säkerhetsorganisation ska vara känd och berörd personal 
ska ha nödvändiga kunskaper om stadens informationsförsörjning 
och säkerhetsregler. 

Ansvarig: Verksamhetsansvarig chef. 

När system utvecklas eller köps in är det viktigt att uppmärksamma 
säkerhetsaspekterna. Det ska finnas skriftligt godkända 
servicenivåer innan systemen sätts i drift. Verksamheter som är 
starkt beroende av verksamhetssystem och it-stöd ska ha en 
kontinuitetsplan. 
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Tillämpning av stadens riktlinjer för informationssäkerhet innebär 
att 

- grundnivån för säkerheten ska fastställas genom 
informationsklas sificering 

- riskanalys ska genomföras för att sårbarheter ska kunna 
identifieras och hanteras 

- åtkomst/behörighet ska tilldelas formellt och endast efter 
behov samt följas upp regelbundet 

- alla incidenter ska rapporteras och följas upp kontinuerligt 
enligt fastställda regler. 

Den som använder Stockholms stads informationstillgångar på ett 
sätt som strider mot riktlinjerna kan ställas till ansvar. Genom att 
följa de åtgärder som beskrivs i stadens regelverk kan arbetet med 
informationssäkerhet förverkligas. Stadsdirektören fastställer 
regler, riktlinjer och fortsatt utveckling av den praktiska 
hanteringen av informationssäkerheten. 

5.1 Riktlinjer för informationssäkerhet 


Syfte: Att ange ledningens viljeinriktning och stöd för 
informationssäkerhet enligt verksamhetskrav, lagar och 
föreskrifter. 


Riktlinjerna för informationssäkerhet ska godkännas av 
kommunfullmäktige (delegerat till stadsdirektör), publiceras samt 
kommuniceras till alla förvaltningar, bolag och till externa parter. 

Granskning av informationssäkerhetspolicyn 

Riktlinjer för informationssäkerhet ska granskas och revideras varje 
år för att se om betydande förändringar inträffat inom staden. 
Granskningen säkerställer även att riktlinjerna fortfarande är 
relevanta och inte står i strid med lagstiftningen samt följer den 
tekniska utvecklingen. 

Ansvarig: Säkerhetsenheten. 
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6 Organisation av 

informationssäkerheten 

Till stöd för stadens säkerhetsarbete och för kommunfullmäktiges 
mål om en trygg och säker stad finns ett strategiskt 
riskhanteringsråd, som bland annat hanterar frågor som rör 
informations s äkerhet. 

Informationssäkerhetschefen, som är placerad på 
stadsledningskontoret, samordnar aktiviteter inom 
informationssäkerhet över hela staden och är rådgivare för 
förvaltningar och bolag. 

6.1 Intern organisation 


Syfte: Att styra informationssäkerhet inom organisationen. 
Ett ramverk för styrning initierar och styr införandet av 
informationssäkerhet inom organisationen. 
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Vissa säkerhetsfrågor förbereds och beslutas i förvaltningsobjekt it- 
säkerhet. Det gäller tekniska säkerhetsfrågor som berör flera 
förvaltningar och bolag eller ett större antal användare. Det kan 
också handla om situationer där det finns risk för att andra system 
kan påverkas. Förvaltningsobjektet leds av 
informationssäkerhetschefen. I styrgruppen ingår säkerhetschef, 
stadsjurist, it-direktör och enhetschefen för teknisk utveckling och 
förvaltning. 

Arbetet med informationssäkerhet i förvaltningar och bolag leds av 
en särskild samordnare. Förvaltnings- och bolagschefer beslutar om 
utformningen av den egna säkerhetsorganisationen, men det ska 
alltid finnas en informationssäkerhetssamordnare. Se Trygg- och 
säkerhetsprogrammet. 

Informationssäkerhetssamordnare 

Rollen som samordnare av informationssäkerhet bör inte förenas 
med andra roller inom it. 

Informationssäkerhetssamordnaren ska ha kunskap om stadens 
regler för informationssäkerhet och om stadens säkerhetsarbete. 

Han eller hon ska också bidra med kompetens vid till exempel 
informationsklassificeringar samt risk- och sårbarhetsanalyser. 
Andra uppgifter kan vara att 
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- sprida information och kunskap om stadens arbete med 
informationssäkerhet inom förvaltningar och bolag 

- vara kontaktperson gentemot stadens 
informationssäkerhetschef 

- se till att nödvändiga lokala tillämpningsanvisningar utformas 
och beslutas 

- samordna och följa upp förvaltningens eller bolagets arbete 
med informationssäkerhet 

- rapportera allvarliga incidenter till stadens 
informationssäkerhetschef. 

- granska och godkänna ändringsbegäran som den egna 
förvaltningen eller bolaget utarbetat. 

- verka för att förvaltningen eller bolaget efterlever beslutade 
program och riktlinjer. 

Informationssäkerhetsresurs 

En förvaltning eller ett bolag som behöver utöka kompetensen 
inom informationssäkerhet kan utse flera personer med sådana 
uppgifter. De bidrar till att upprätthålla informationssäkerheten 
inom den egna enheten, till exempel en skola, samt följer upp 
planer och ser till att reglerna följs. De kan fungera även som nära 
stöd till verksamhetsansvariga chefer i frågor som rör 
informations s äkerhet. 

Exempel på uppgifter för en informationssäkerhetsresurs är att ge 
råd i frågor om informationssäkerhet på arbetsplatsen samt stödja 
verksamhetschefen med att ta fram planer och genomföra 
utbildningar. 

Informationssäkerhetsansvarig i projekt 

För att bevaka att säkerhetsaspekterna i ett projekt tas om hand ska 
en person ansvara för säkerhet och/eller informationssäkerhet. 
Erfarenheterna visar att det finns stora risker för förseningar och 
ökade kostnader om inte säkerheten uppmärksammas i ett tidigt 
skede i projektet. 

I uppgifterna ingår att tillse att följande genomförs: 

- Informationsklassificering. 

- Riskanalys. 

- Test av systemet. 

- Identifiering och kontroll av säkerhetsåtgärder. 

Ledningens engagemang för informationssäkerhet 

Förvaltnings- och bolagsledningarna ska aktivt stödja säkerheten 
inom den egna organisationen. Det sker genom tydlig inriktning 
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och engagemang och genom att fördela och bekräfta ansvaret för 
informations s äkerhet. 

Grunden för informationssäkerhet är att arbetet föran kr as bland 
medarbetarna och att de görs medvetna om vikten av säkerhet. 
Därför har alla chefer i staden ett ansvar för att kommunicera 
vikten av god informationssäkerhet. 

Samordning av arbetet med informationssäkerhet 

Kommunfullmäktige, delegerat till stadsdirektören, ansvarar för att 
ta fram och förvalta de stadsövergripande riktlinjerna för 
informationss äkerheten. 

Ansvaret för informationssäkerheten följer linjeorganisationen. 

Godkännande av resurser för informationsbehandling 

Införandet av nya system ska följa stadens fastställda rutiner som 
utvecklingsguide och stadens projektstyrningsmodell). Det innebär 
bland annat att systemet ska informationsklassificeras, 
riskanalyseras och testas innan de tas i drift. 

Sekretessförbindelse 

Den som i sin yrkesroll får ta del av sekretessbelagd information 
ska underteckna en sekretessförbindelse. Förbindelsen är en 
bekräftelse på att en anställd har informerats om tystnadsplikten. 
Den fungerar också som en försäkran om att han eller hon följer 
bestämmelserna. Förbindelsens huvudsakliga rättsliga funktion är 
att i en rättegång eller i ett disciplinärt ärende fungera som bevis för 
att den anställde har eller borde ha förstått att han eller hon brutit 
mot tystnadsplikten. 

Myndighetskontakt 

Stadsledningskontoret ansvarar för samordningen av 
informationssäkerhet mellan Stockholms stad och andra 
myndigheter. 

Kontakt med särskilda intressegrupper 

För att arbetet med informationssäkerhet ska bli effektivt ska 
förvaltningar och bolag ha kontakt med aktuella intressegrupper 
och nätverk. 

Oberoende granskning av informationssäkerhet 

Kommunstyrelsen ansvarar genom revisionskontoret för att 
granskningar av informationssäkerheten genomförs. Förvaltnings- 
och bolagschef ansvarar för att egna system och lösningar granskas 
av oberoende part. 
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6.2 Utomstående parter 

Avtal med utomstående parter ska reglera både den affärsmässiga 
och den säkerhetsmässiga överenskommelsen. Säkerhetskrav som 
kommer att ställas på den utomstående ska redovisas. 

Identifiering av risker med utomstående parter 

När utomstående parter deltar i verksamhetsprocesser bör man i 
första hand göra en riskanalys av såväl stadens information som 
resurser för informationsbehandling samt införa eventuella 
säkerhetsåtgärder. Detta ska ske innan de externa partema får ta del 
av informationen. 

Hantering av säkerhet vid kundkontakter 

Sårbarheter som bedöms få negativa konsekvenser för den egna 
verksamheten ska behandlas innan utomstående parter får ta del av 
stadens information eller andra tillgångar. Det kan till exempel 
gälla sårbarheter i system, roller eller fysiska tillträdesskydd. 

Hantering av säkerhet i tredjepartsavtal 

Avtal med en tredje part om åtkomst, bearbetning, kommunikation 
och hantering av stadens information eller resurser för 
informationsbehandling ska innehålla alla relevanta säkerhetskrav. 
Det gäller även tillägg av produkter eller tjänster inom samma 
område. 


7 Hantering av tillgångar 

7.1 Ansvar för tillgångar 


Syfte: Alla informationstillgångar samt dyr och svårersättlig 
utrustning ska ha en ansvarig. Denne utfärdar instruktioner om hur 
informationen och utrustningen får användas. 


Informationstillgångar representerar stora värden och ska därför tas 
upp i en förteckning. Det är viktigt att sådana förteckningar hålls 
uppdaterade. 

Utrustning, särskilt stöldbegärlig, ska vara märkt så att den kan 
identifieras. Stöldskyddsmärkningen ska utformas så att den är svår 
att avlägsna. 

Märkningen görs av Staden eller av parter/leverantörer. 
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Ägarskap 

Alla informationssystem ska ägas av en nämnd eller ett bolag som 
utses av kommunalfullmäktige. Inköpande chef som på delegation 
inköper resurser för informationsbehandling ska utse en ansvarig 
för dessa resurser. 

Användning av tillgångar 

Lokala tillämpningsregler för hur information och resurser för 
informationsbehandling får användas ska utformas, dokumenteras 
och införas i organisationen. 

7.2 Klassificering av information 


Syfte: Att säkerställa att information får en lämplig skyddsnivå. 
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Riktlinjer för informationsklassificering 

Information är i varierande grad känslig och kritisk. Vissa 
tillgångar kan behöva utökat skydd eller speciell hantering. 

Alla stadens informationstillgångar ska klassificeras (värderas) för 
att få rätt skyddsnivå. Det ska ske redan i samband med 
systemutveckling eller systeminköp, men även under 
förvaltningsskedet. Klassificeringen utgår från faktorerna 
Åtkomstbegränsning, Riktighet, Tillgänglighet och Spårbarhet. 
Stadsledningskontorets handbok för informationsklassificering ska 
användas. 

Märkning och hantering av information 

Information som är belagd med sekretess ska tydligt märkas. Det 
ska även framgå om informationen är original eller kopia. Innan 
man beslutar om att lämna ut information ska den sekretessprövas. 

Information som omfattas av säkerhetsskyddslagstiftningen 
hanteras inte i detta dokument. 

Stadens informationshantering styrs främst av 
tryckfrihetsförordningen samt offentlighets- och sekretesslagen 
(OSL) 2009:400. Huvudregeln i tryckfrihetsförordningen är att 
information ska vara tillgänglig för allmänheten, den så kallade 
offentlighetsprincipen. Undantaget är information som kan 
omfattas av sekretesskydd enligt reglerna i OSL. Det är viktigt att 
varje anställd känner till vilken information som är sekretessbelagd 
och hur den ska hanteras, i första hand inom det egna 
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ansvarsområdet. Viss information kräver en sekretessprövning 
varje gång den begärs utlämnad, oavsett om handlingen är 
sekretessbelagd eller inte. 



En handling kan vara allmän eller icke allmän. En allmän handling kan vara 
offentlig, omfattas av sekretess, vara hemlig eller kvalificerat hemlig. 

En icke allmän handling kan vara sekretessbelagd, hemlig eller kvalificerat 
hemlig. 

Hantering av allmänna, sekretessbelagda handlingar 

Sekretessbelagda handlingar är undantagna offentlighetsprincipen 
och ska skyddas från obehörig åtkomst. De ska även märkas med 
en särskild anteckning (sekretessmarkering). Om handlingen är 
elektronisk införs anteckningen i handlingen eller i det datasystem 
där handlingen hanteras. Anteckningen ska ange 

1. tillämplig sekretessbestämmelse, 

2. datum då anteckningen gjordes, och 

3. den myndighet som har gjort anteckningen. 
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Sekretess 

Offentlighets- och sekretesslagen 
...Kap ...§ 

Datum:. 

X-förvaltn ingen 

Exempel på sekretessmarkering 

Dokument som innehåller sekretessbelagda uppgifter ska antingen 
förvaras under uppsikt eller vara inlåsta. 

Att medföra information som omfattas av sekretess utanför 
arbetsplatsen är endast tillåtet om tjänsteutövningen kräver det och 
tillstånd finns från ansvarig chef. 

Sekretessbelagda handlingar ska vid gallring förstöras i 
dokumentförstörare. Sekretessbelagda handlingar i elektronisk 
form ska vid gallring förstöras med motsvarande säkerhet. Om de 
distribueras, ska det ske med bud eller som rekommenderat brev 
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med mottagningsbevis. Är handlingarna i elektronisk form ska de 
distribueras med krypterad förbindelse eller med filerna krypterade. 
De ska också kunna lagras krypterade om det är nödvändigt att 
begränsa åtkomsten. Använd i så fall den lösning som 
stadsledningskontoret rekommenderar. 

Sekretessbelagd handling som tas emot i elektronisk form ska 
märkas med sekretessmarkering. Markeringen ska införas i den 
löpande texten om det är e-post. Handlingen ska registreras. 

Verksamhetsansvarig chef ska verka för att sekretessbelagda 
handlingar hanteras korrekt. 

Hantering av allmänna offentliga handlingar 

En handling är allmän, om den förvaras hos myndighet och är att 
anse som inkommen till eller upprättad hos myndighet. 

Handling anses inkommen till myndighet, när den har anlänt till 
myndigheten eller kommit behörig befattningshavare till handa. 
Handling anses upprättad hos myndighet, när den har expedierats. 

All post som inte är elektronisk och som kommer utifrån ska gå via 
registraturet, där den öppnas och där man bedömer om handlingen 
ska diarieföras. 

Upprättade handlingar ska sekretessbedömas och registreras. 

E-post, fax, sms och liknande kan också vara en inkommen 
handling. Mottagaren eller upprättaren i staden bedömer om 
meddelandet ska diarieföras. 

Avslutade ärenden ska arkiveras enligt de bestämmelser som finns. 

Alla handlingar ska sekretessbedömas, om möjligt av ansvarig 
handläggare, innan de lämnas ut. 

Hantering av icke allmänna handlingar 

Minnesanteckningar, utkast, privata brev, underhandsremisser och 
koncept till en myndighets beslut är inte allmänna handlingar, så 
länge de inte har expedierats eller tagits om hand för arkivering. 

Samma regler gäller för såväl icke allmänna hemliga handlingar 
som allmänna hemliga handlingar. 

I samband med resor, konferenser och motsvarande ska känsligt 
arbetsmaterial hanteras så att de inte exponeras för obehöriga. 
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För att spara lagringsutrymme på servrar ska icke allmänna 
handlingar raderas när de inte längre behövs. 
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8 Personresurser och säkerhet 

8.1 Före anställning 


Syfte: Att säkerställa att anställda, uppdragstagare och 
tredjepartsanvändare förstår sitt ansvar och är lämpliga för de roller 
de kommer att ha. Syftet är också att minska risken för stöld, 
bedrägeri eller missbruk av resurser. 
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Rekrytering av personal ska ske utifrån säkerhetsbestämmelserna i 
Riktlinje säkerhetsskydd, kapitel 8, Stockholms stad om 
anställningen är placerad i säkerhetklass. Platssökande kontrolleras 
på lämpligt sätt, särskilt om anställningen innebär att han eller hon 
får åtkomst till sekretessbelagda uppgifter eller säkerhetskritiska 
aktiviteter. 

Roller och ansvar 

Ansvaret för informationssäkerhet är decentraliserat i staden, vilket 
innebär att det följer linjeorganisationen. För att samordna 
aktiviteter som rör informationssäkerhet inom en nämnd eller ett 
bolag ska en person utses till samordnare av sådana frågor. 
Nämnder ska ha ett personuppgiftsombud. 

Alla anställda, elever samt förtroendevalda och kontrakterad 
personal har ett ansvar för informationssäkerhet. 

Kontroll av personal 

Vid rekrytering ska den arbetssökandes referenser och formella 
meriter kontrolleras och följas upp, till exempel CV, 
meritförteckning och yrkeslegitimation. Kontrollerna ska stå i 
proportion till förvaltningens krav på tjänsten, typ av information 
som den anställde ska hantera samt förmodade risker. 

Anställningsvillkor 

Anställda, uppdragsgivare och tredjepartsanvändare ska godta och 
underteckna de villkor och förhållanden i anställningsavtalet som 
anger det egna och stadens ansvar för informationssäkerheten. 

Samtliga anställda ska vara medvetna om sina skyldigheter enligt 
anställningsavtalet samt informeras om reglerna för 
informationssäkerhet och sekretess. Innan någon kan få ta del av 
stadens informationssystem ska han eller hon informeras om att 
bristande efterlevnad av riktlinjer, föreskrifter och instruktioner kan 
bedömas som misskötsel, vilket är ett brott mot anställningsavtalet. 
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Ansvar för att informera den anställde ligger på den chef som 
sköter anställningen. 

8.2 Under anställning 


Syfte: Att säkerställa att anställda, uppdragstagare och 
tredjepartsanvändare är medvetna om hot och problem som rör 
informationssäkerhet samt känner till sitt ansvar och sina 
skyldigheter. 
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Ledningens ansvar 

Ansvaret följer linjeorganisationen. Förvaltningschef/bolagschef 
ska se till att anställda, uppdragstagare och tredjepartsanvändare 
tillämpar säkerhet på det sätt som staden beslutat om i program och 
riktlinjer. 

Varje förvaltnings- och bolagsledning ansvarar för att skapa 
förutsättningar för att alla anställda, elever samt kontrakterad 
personal kan hantera information och resurser för 
informationsbehandling på ett säkert sätt. Det sker med hjälp av 
utbildning och genom förvaltnings- eller bolagsspecifika 
anvisningar och instruktioner. 

Personal och säkerhet 

Vid nyanställning ska den anställde förbinda sig att ta del av och 
acceptera lokala bestämmelser för informationssäkerhet. Detta kan 
till exempel ske när användarkontot kvitteras. 

All personal ska ha kunskap om offentlighetsprincipen och om 
offentlighets- och sekretesslagen. 

Det ska finnas lokala instruktioner som styr avveckling och/eller 
förändring av åtkomst till såväl lokaler som it-system. 

Om det är aktuellt med uppsägningar bland personal med hög 
behörighet till lokaler och it-system, bör dessa behörigheter 
omedelbart revideras. 

Beställare/uppdragsgivare ska upprätta sekretessförbindelse för 
konsulter och entreprenörer med uppdrag inom staden när det är 
relevant. Det ska ske innan uppdraget startar och om uppdraget 
innebär åtkomst till uppgifter som omfattas av sekretess. 
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Vid tjänstledighet längre än sex månader ska rätten till åtkomst av 
system revideras, om man inte kommit överens om annat. 
Föräldralediga är undantagna. 

Information, utbildning och övning 

Verksamhetsansvarig chef ansvarar för att all personal och elever i 
verksamheten utbildas i informationssäkerhet, inklusive betydelsen 
av incidentrapportering. Alla chefer ansvar för att förändringar av 
och tillägg i styrande dokument (riktlinjer, anvisningar, 
instruktioner) blir kända av personalen. 

För att skapa medvetande om informationssäkerhet och andra 
säkerhetskrav ska alla användare utbildas löpande. Det gäller även 
konsulter och övriga tredjepartsanvändare. Den som är 
objektsansvarig definierar vilka krav som ställs på 
förvaltningsobjektets användare. 

Bestämmelser om informationssäkerhet ska finnas på stadens 
intranät, som alla användare har tillgång till. Informations- 
säkerhetschefen ansvarar för detta. 

Disciplinär process 

Om en anställd bryter mot regelverket ska han eller hon i första 
hand utbildas. Är brottet eller överträdelsen en upprepning eller av 
synnerligen allvarlig karaktär ska anställningen ifrågasättas. Det 
kan också bli fråga om disciplinära åtgärder. 

(Se även stadens centralt utgivna användarkontrakt, som alla 
användare ska godkänna vid första inloggningen i stadens system.) 

Privat användning av stadens it-system 

Privat användning ska ske inom de ramar som sätts upp av lagar 
och förordningar samt följa samma etiska normer som annan 
hämtning eller spridning av information. Användningen får inte 
skada Stockholm stads anseende eller kränka någon enskild i eller 
utanför Stockholms stad. Den får inte heller medföra extra 
kostnader för staden. 

Privat användning får inte ske i sådan omfattning att den in kr äktar 
på användarens arbete. Stadens utrustning får endast användas av 
den anställde. Nedladdning och lagring av upphovsrättsskyddat 
stadsiedningskontoret material är inte tillåtet. 

Ragnar Östbergsplan 1 
10535 STOCKHOLM 
Telefon 08 508 29 355 
Växel 08 508 29 000 
registratur-kfks@stockholm.se 
www.stockholm.se 
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Användaren ska vara medveten om att 

- meddelanden som skickas via e-post normalt inte är 
skyddade från insyn 

- e-post som skickas till eller från Stockholm stads e- 
postadresser eller som finns i Stockholm stads it-system kan 
uppfattas som stadens e-post 

- om en e-postadress lämnas till olika tjänster på internet, till 
exempel nyhetsbrev, kan detta medföra att så kallad 
skräppost skickas tillbaka till e-postadressen 

- besök på webbplatser på internet lämnar elektroniska spår 
efter sig 

- nätverkstrafik och dess innehåll loggas (registreras) och 
lagras. 

Programvaror som inte är korrekt licensierade eller godkända av it- 
chef eller motsvarande får inte förekomma i Stockholm stads it- 
system. 

Hantering av e-post 

Varje nämnd och bolag ansvarar för att de allmänna handlingar 
som skapas i verksamheten hanteras enligt regelverket. I ansvaret 
ingår också att se till att alla anställda vet vilka regler som gäller. 

Alla som använder e-post ska regelbundet och dagligen kontrollera 
sin brevlåda, själv eller genom annan person. 

E-post som är allmän handling registreras enligt föreskrifterna i 
offentlighets- och sekretesslagens 5 kapitel. Undantag gäller e- 
posthandlingar som har liten betydelse för stadens verksamheter 
eller som på annat sätt görs sökbara och tillgängliga för 
utomstående. Se 7.2 hantering av allmänna handlingar. 

Sekretessbelagda uppgifter får endast skickas med e-post till 
mottagare inom @ stockholm.se med subdomäner. Stadens 
anställda får inte skicka sekretessbelagd information med andra e- 
posttjänster än stadens. Stadsledningskontorets rekommenderade 
metoder för kryptering ska användas. 

Handlingar i ett ärende ska alltid kunna presenteras tillsammans. 
Det innebär att handlingar som kommit in eller upprättats 
elektroniskt bör skrivas ut på papper, om myndighetens aktsystem i 
övrigt är pappersbaserat. 
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De uppgifter om meddelanden som finns i loggar och andra 
förteckningar inom systemet är allmänna handlingar och kan 
därmed bli tillgängliga. 

I arkivlagen och i stadens arkivregler finns bestämmelser om hur 
man bevarar och gallrar allmänna handlingar. Dessa regler gäller 
även för hanteringen av e-post. 

Arkivmyndigheten beslutar om gallring av övriga meddelanden. 

Varje anställd ska vid frånvaro ge fullmakt till en kollega som kan 
ta hand om inkommen e-post under förutsättning att medarbetaren 
inte kan lösa detta själv. Det räcker inte med ett automatiskt 
svarsmeddelande om frånvaron. Krypterad e-post går inte att läsa 
av annan än mottagaren. 

Varje förvaltning ska ha en officiell e-postadress. Adressen 
publiceras externt, bland annat på stadens webbplats. E-posten 
öppnas av registrator eller motsvarande. 

Brevlådan ska vara tillgänglig för allmänheten, till exempel hos 
registrator. Vid korrespondens med allmänheten ska man så långt 
som möjligt använda den officiella adressen som avsändaradress. I 
många fall kan det vara lämpligt att enheter/avdelningar eller 
särskilda verksamheter har en egen adress/brevlåda. 

Om e-postmeddelanden innehåller uppgifter om levande personer 
gäller personuppgiftslagens bestämmelser. (1998:204.) 

E-postsystemet får i begränsad omfattning användas för privata 
meddelanden. Användningen ska vara etiskt försvarbar. 

E-post får inte vidarebefordras till externa adresser utan kontroll av 
eventuell sekretess. 

Internetanvändning 

Internet är en av många informationskällor som används för att lösa 
arbetsuppgifter. Använd internet inom de ramar som sätts upp av 
lagar och förordningar, exempelvis upphovsrättslagen och 
personuppgiftslagen. Följ samma etiska normer som för annan 
hämtning och spridning av information. 

Material som är sekretessbelagt får inte publiceras på internet. Man 
får inte heller ladda ner upphovsrättsskyddat material. 
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Surfning på internet kan kontrolleras på initiativ av 
förvaltningschef eller den som samordnar informationssäkerheten. 
Det sker bland annat genom stickprov. 
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Sociala medier 

Sociala medier är ett samlingsbegrepp för medier eller kanaler på 
internet som skapar förutsättningar för kommunikation mellan 
människor. Några exempel är bloggar, webbforum och wikis. 
Exempel på sociala medier är tjänster som Wikipedia, Facebook, 
YouTube, Flickr, Twitter och WordPress. 

Hantering av sociala medier 

Förvaltningar och bolag ska ta fram ett register över de sociala 
medier som används och i vilket syfte. Detta för att underlätta 
sökning i allmänna handlingar. 

För varje kanal där staden är aktiv ska det finnas en ansvarig 
person. 

I de kanaler där användare själva kan bidra med information, till 
exempel kommentarer, har den ansvarige en så kallad uppsiktsplikt, 
eftersom detta räknas som en elektronisk anslagstavla. Det innebär 
att han eller hon regelbundet har uppsikt över information som 
användare publicerar. Innehållet ska granskas och filtreras minst en 
gång i veckan. 

Uppsiktsplikt innebär även ansvar för att ta bort brottsligt material, 
till exempel 

- uppvigling 

- hets mot folkgrupp 

- bampornografibrott 

- olaga våldsskildring 

- upphovsrättsintrång. 

Kommunikation som sker via sociala medier behöver inte 
diarieföras löpande. 

Kommunikation som sker via sociala medier från privata konton 
behöver inte diarieföras. 

Dokumentation av mediet görs årligen på en övergripande nivå och 
i form av skärmbilder samt lagras i PDF-format. 



Riktlinje 
Sida 34 (82) 


Information som inte längre är aktuell eller är felaktig ska gallras 
från de kanaler som staden är aktiv i. Det gäller både information, 
inlägg och kommentarer. I samband med detta ska gallringsbeslut 
fattas. 

Information som är sekretessbelagd får inte kommuniceras i sociala 
medier. 

8.3 Upphörande eller ändring av anställning 

Syfte: Att säkerställa att anställda, uppdragstagare och 
tredjepartsanvändare på ett ordnat sätt lämnar organisationen 
eller ändrar sina anställningsförhållanden. 


Förvaltningar och bolag ska ta fram och använda rutiner för 
personal som avslutar eller ändrar sin anställning. Syftet är att 
säkerställa att åtkomsträttigheter upphör och att tillgångar 
återlämnas vid anställningens slut. Det gäller även för 
uppdragstagare, elever och andra användare som inte är anställda. 

Ansvar när anställningen upphör 

När en anställning eller ett kontrakt upphör ansvarar varje 
användare för att de allmänna handlingarna gallras och bevaras 
enligt de regler och lagrum som gäller. 

Återlämna tillgångar 

Vid anställningens eller kontraktets slut ansvarar varje användare 
för att datorer, tjänstekort, telefoner, nycklar, passerkort och annan 
utrustning som hör till tjänsten lämnas tillbaka. 

Indragning av åtkomsträttigheter 

När anställningen eller kontraktet upphör ska den anställde 
meddela it-ansvarig eller chef inom förvaltningen/bolaget vilka 
behörigheter som har varit aktuella för åtkomst till 
informationssystemen och som då kan avbeställas. 
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9 Fysisk och miljörelaterad 
säkerhet 

9.1 Säkra utrymmen 


Syfte: Att förhindra tillträde av obehöriga, skador och störningar i 
organisationens lokaler och i information. 
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Med säkra utrymmen menas utrymmen som är byggda för att 
uppfylla högre krav på skal- och brandskydd samt har säker 
tillgång till nödvändig el och kyla. 

För att säkerställa att endast behörig personal har tillträde till 
säkrade utrymmen ska dessa skyddas med hjälp av lämpliga 
tillträdeskontroller. 

Olika åtgärder behövs för att förhindra att obehöriga får tillträde till 
utrymmen med informationstillgångar. Även där tillgångarna är 
placerade måste man förhindra skador och störningar. 

Skalskydd 

Informationstillgångar som är kritiska eller viktiga för 
verksamheten ska förvaras i säkrade utrymmen inom ett avgränsat 
skalskydd med lämpliga spärrar och tillträdeskontroller. Nivån på 
skalskyddet bestäms bland annat med hjälp av riskanalys. För att 
driften ska kunna ske utan störningar är det viktigt att begränsa 
tillträdet till driftmiljön. 

Tillträdesskydd, inbrottslarm och brandlarm ska installeras utifrån 
en auktoriserad organisations normer. Genom tillträdeskontroll kan 
man säkra att endast behörig personal får tillträde. 

Branschnormer 

Det är viktigt att följa branschnormema för stöldskydd och brand. 
De normer som i första hand är aktuella är: 

- Svenska stöldskyddsföreningens norm (SSF) 200:5 (Regler 
för mekaniskt inbrottsskydd). 

- EN 1047 (EU-norm för brandklassning) där brandklass P = 
för pappersdokument och brandklass DIS = för olika typer 
av datamedia. 
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- Telecommunications Infrastructure Standard for Data 
Centers (TIA) 942. 

Lås och larm 

Servrar och kommunikationsutrustning ska placeras i särskilda 
utrymmen. Lås- och larmsystem ska vara godkända och anpassade 
till driftmiljön. 

Observera att det alltid är försäkringsbolaget (eller annan 
kravställare) som godkänner säkerhetsprodukter, till exempel lås 
och larm. Av försäkringsvillkoren framgår vilka krav som gäller för 
att försäkringen ska gälla fullt ut. Dessa krav måste kontrolleras 
innan man köper och monterar nya säkerhetsprodukter. 

Det ska finnas system för passerkontroll, där känslig och 
sekretessbelagd information hanteras. 

Nycklar och passerkort som är av betydelse för säkerhetsskyddet 
skall förvaras i säkerhetsskåp som uppfyller 
Stöldskyddsföreningens norm SS 3492. Använd nyckelschema vid 
hantering av nycklar. 

I offentliga miljöer där det finns datorer ska det finnas inre och 
yttre skalskydd. 

Tillträdeskontroll 

Genom tillträdeskontroll ser man till att endast behörig personal har 
tillträde till säkrade utrymmen. Det kan vara en bemannad 
reception eller datoriserade system för passagekontroll med 
individuella passagekort. Systemet måste kunna tillåta speciella 
krav, till exempel vissa begränsningar för individer eller 
begränsning av tid på dygnet. 

Extern eller egen personal utan behörighet får inte vistas ensamma i 
server- och kommunikationsutrymmen. Sådana besök ska föras in i 
en loggbok med följande uppgifter: 

- Besökarens namn och organisation/företag. 

- Namn på den som tar emot besöket samt organisatorisk 
tillhörighet. 

stadsiedningskontoret _ Tidpunkt fö r i n - och utpassering. 

Ragnar Östbergsplan 1 - Syftet med besöket. 

10535 STOCKHOLM 
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www.stockholm.se 
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Det ska även finnas rutiner för att följa upp loggar av in- och 
utpasserande. Lika viktigt är att följa aktuella säkerhetsföreskrifter 
och branschnormer. 

Skydd av kontor, rum och faciliteter 

Alla lokaler där staden har verksamhet ska utformas och skyddas 
med tanke på risken för stöld och tillträde av obehöriga. 

Det fysiska skyddet ska vara i nivå med verksamhetens krav och 
risker. Viktig utrustning ska inte placeras så att den är allmänt 
tillgänglig. 

Skydd mot externa hot och miljöhot 

Stadens lokaler, byggnader och rum ska även skyddas mot skada på 
grund av brand, översvämning, explosion eller andra former av 
skador enligt resultat från genomförd riskanalys. Det gäller även 
angränsande utrymmen. 

Arbete i säkra utrymmen 

Allt tillträde till säkra utrymmen ska loggas. Personer som behöver 
tillfällig behörighet ska följas av någon med behörighet. 

Allmänna tillträdes-, leverans- och lastutrymmen 

Platser dit obehöriga kan få tillträde och som ligger i anslutning till 
skyddade lokaler eller säkra utrymmen ska övervakas och skyddas 
med skalskydd. Leverans- och lastområden ska om möjligt 
utformas så att leveranspersonalen kan lossa gods utan att kunna nå 
andra delar av byggnaden. 

9.2 Skydd av utrustning 


Syfte: Att hindra förlust, skada, stöld eller skadlig påverkan på 
tillgångar samt hindra avbrott i organisationens verksamhet. 
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Utrustning ska skyddas mot fysiska och miljömässiga hot. Med 
informationsklassificering och riskanalys som grund ska olika 
åtgärder förhindra förlust eller skada på informationstillgångar 
samt avbrott i verksamheten. Utrustning som arbetsgivaren har 
tillhandahållit ska hanteras enligt anvisningar. 

Placering och skydd av utrustning 

Beroende på hur utrustningen är placerad krävs olika typer av 
fysiskt skydd. Man måste även ta hänsyn till eventuella miljörisker 
och obehörigas åtkomst. 
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Det ska alltid finnas brandskydd i eller i anslutning till server- och 
kommunikationsutrymmen. Anlita alltid expertis för att skapa rätt 
dimensionerat brandskydd. Följande utrustning ska finnas: 

- Släckutrustning i utrymmena och handsläckare i anslutning 
till utrymmena. 

- Rökdetektorer och därtill kopplat brandlarm. 

- Genomföringar för ledningar och kablage som är 
brandtätade. 

- Brandklassade dörrar till utrymmen. 

- Nödbelysning. 

Information och material som är viktig för verksamheten ska 
förvaras i låst utrymme inom tillträdesskyddat område. 

Den norm som i första hand är aktuell är EN 1047 (EU norm för 
brandklassning), där brandklass P avser pappersdokument och 
brandklass DIS avser olika typer av datamedia. Stöldbegärlig och 
dyr utrustning, samt reservutrustning som är svår att ersätta, ska 
förvaras i låst utrymme med begränsat tillträde. Om möjligt ska den 
också vara märkt. 

Var man placerar skrivare, kopiatorer, scanners, faxar och liknande 
utrustning beror på vilken typ av information som hanteras. 

När känslig eller sekretessbelagd information skrivs ut ska 
utskriften övervakas eller skyddas med skrivarens funktion Säker 
utskrift, Utskriftskö eller motsvarande. 

Bärbar utrustning ska hållas under uppsikt eller, om möjligt, vara 
utrustad med wirelås vid arbete utanför ordinarie arbetsplats. (Se 
ovan Anvisningar för datorer i publik miljö.) 

Tekniska försörjningssystem 

Utrustning som har stor betydelse för verksamheten ska skyddas 
mot elavbrott och andra störningar. Elektricitet, avlopp, värme och 
ventilation samt luftkonditionering ska vara dimensionerade för 
verksamheten. 

Kablageskydd 

Alla kablar, såväl starkström som kablar som används för data och 
teletrafik, ska skyddas mot åverkan. Kablar som används för data- 
och teletrafik eller andra stödjande tjänster ska skyddas mot 
avlyssning genom kryptering, larm eller fysiskt skydd. Ansvarig för 
stadens lokala nätverk är S:t Erik Kommunikation. 
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Verksamhetskritiska system och verksamhetsställen som är starkt 
beroende av elförsörjning ska ha reservkraft. Utrustningen ska 
testas regelbundet. 

För att underlätta felsökning ska kablar både för strömförsörjning 
och för datakommunikation finnas på ritningar som hålls 
uppdaterade. 

Underhåll av utrustning 

I första hand ska man följa leverantörens rekommenderade 
underhållsplan för utrustningen. Reparation och service får bara 
utföras av auktoriserad underhållspersonal. Alla krav som ställs i 
försäkrings- och garantivillkoren ska vara uppfyllda. 

Säkerhet för utrustning utanför egna lokaler 

All it- och teleutrustning som används utanför de egna 
lokalerna ska ha lika högt säkerhetsskydd som i de egna 
lokalerna. Särskild hänsyn tas till risken för stöld och obehörig 
åtkomst av information. 

Utrustning som används utanför stadens lokaler ska ha 
anpassat försäkringsskydd. 

Offentliga miljöer som staden står bakom, till exempel 
medborgarkontor, bibliotek och skolor, har oftast it-utrustning för 
informationssökning och informationshantering. På särskilt utsatta 
arbetsplatser ska utrustningen vara fastlåst. 

I miljöer där allmänheten kan använda datorer ska det inre och yttre 
skalskyddet uppfylla stadens krav. (Se Anvisningar för skalskydd 
och tillträde.) Där ska man även använda sig av ID-kort, lånekort, 
tidbokningslista eller motsvarande för att motverka anonym 
användning. Utan stark autentisering skall endast publika system 
kunna nås. 

Filter mot surfning hindrar åtkomst till webbsidor och adresser med 
olämpligt innehåll eller sidor med skadlig påverkan. Respektive 
förvaltning/bolag får besluta om att utöka de av 
stadsledningskontoret fastställda restriktionerna. 

Säker avveckling eller återanvändning av utrustning 

Lagringsmedia som innehåller känslig information eller 
licensierade program ska förstöras, avmagnetiseras eller 
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överskrivas på ett säkert sätt i samband med avveckling eller 
återanvändning. 

Avlägsnande av egendom 

Utrustning som innehåller känslig information ska inte avlägsnas 
från Stockholms stads lokaler utan tillstånd från verksamhetens 
chef. Detta kan tas som ett generellt beslut vilket bör tillåta att 
användaren kan tillåta reparation och återställning. Om möjligt ska 
det finnas en tidsgräns för när utrustningen ska tas bort. 
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10 Styrning av kommunikation och 
drift 

10.1 Driftsrutiner och driftansvar 


Syfte: Att säkerställa korrekt och säker drift av resurser för 
informationsbehandling. 


It-chef eller motsvarande ansvarar för ledning och drift av 
gemensamma informationstillgångar. Det ska finnas en skriftlig, 
aktuell driftdokumentation med ansvarsfördelning. 
Dokumentationen ska vara godkänd av den som är 
objektsförvaltare it. 

När det gäller drift och/eller förvaltning av it-system ska det finnas 
anvisningar som gör det möjligt att regelbundet ta del av 
leverantörers systemrevisioner. 

Driftrutinerna ska minst innehålla instruktioner för 
säkerhetskopiering, hantering av fel, lista över kontaktpersoner vid 
oväntade problem med drift eller teknik, hanteringsregler för 
sekretessbelagda utdata samt rutiner för återstart, återställning och 
hantering av logginformation. 

För att kunna garantera kvaliteten i överenskommet it-stöd krävs 
god ordning och aktuell driftdokumentation samt dokumenterade 
rutiner för drift och åtgärder. 

Om originaldokumentationen sparas på papper ska den förvaras i 
dokumentskåp som skyddar mot brand. 

Det ska finnas en förteckning över all utrustning och programvara. 

Ändringshantering 

Om man förändrar system som enbart berör den egna verksamheten 
eller bolaget kan ändringarna hanteras internt. 

Förvaltningar och bolag skall vid förändringar beakta punkterna 
nedan: 

Viktiga ändringar skall identifieras och registreras. 
Ändringar skall planeras och testas. 

Bedömning av tänkbara effekter, inklusive effekten på 
säkerheten, av sådana ändringar skall göras. 
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- Föreslagna ändringar ska godkännas av 
informationssäkerhetssamordnare och annan behörig vid 
förvaltningen eller bolaget. 

- Berörda ska informeras innan ändringarna genomförs. 

- reservrutiner, inklusive rutiner och ansvar för att avbryta 
och återställa efter misslyckade ändringar och oförutsedda 
händelser skall finnas. 

- Hanteringen av ändringar gäller även åtgärder som är av 
rent infrastrukturell karaktär. 

- Samtliga ändringar ska ha en ansvarig beställare. 

- Ändringsbegäran till en extern leverantör ska granskas och 
godkännas av förvaltningens eller av bolagets 
informationss äkerhets samordnare. 

Motsvarande förfarande ska följas när det gäller it-system som tas 
in från extern leverantör. 

Fastställda rutiner för ändringar minskar riskerna för 
driftstörningar. Dessa rutiner ska vara väl förankrade i systemets 
förvaltningsorganisation. Det gäller även mindre ändringar. 
Objektsförvaltare verksamhet ansvarar för detta i samråd med 
driftsansvarig/driftsleverantörs personal. 

All ändring av programvara ska godkännas innan den installeras i 
utbildnings- eller produktionsmiljö. Före installationen ska en 
Objektsägare verksamhet eller motsvarande godkänna a ett 
testprotokoll. Stadens modell för testhantering, T-guide, ska 
användas. 


Uppdelning av resurser för utveckling, test och drift 

Staden ska ha tillgång till åtskilda produktions-, utvecklings- och 
testmiljöer. Säkerhetsreglerna är desamma. 

Det är viktigt att testmiljön så långt som möjligt liknar driftmiljön. 
Tänk på att känsliga data inte får kopieras in i testmiljön och att 
skydda den information som finns där. 


10.2 Hantering av tredjepartsleverantör 

Stadsledningskontoret 
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Syfte: Att införa och behålla lämplig nivå på informations-säkerhet 
och tjänster enligt överenskommelse med tredje part. 
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En tredjepartsleverantör är en extern part som utför it-relaterade 
tjänster på uppdrag av Stockholms stad. Dessa tjänster kan vara av 
större eller mindre omfattning. Till exempel hanteras vissa system 
av externa it-leverantörer. 

Om en tredje part är anlitad för att leverera it-tjänster åt staden 
måste informationssäkerheten vara högt prioriterad och av högsta 
kvalitet. Hos leverantören måste finnas en avtalspart och en 
kontaktperson eller kontaktfunktion. 

En verksamhet som låter en tredje part utföra it-tjänster ska följa 
upp hur arbetet genomförs, om utförda tjänster stämmer överens 
med avtalet och om de uppfyller alla krav. 

Vid utläggning (outsourcing) av hela eller delar av verksamhetens 
informationsförsörjning ligger ansvaret för informationssäkerheten 
kvar hos förvaltningen eller bolaget. Med informationsbehandling 
menas läsa, skriva eller ändra information. 

Molntjänster 

Termen Molntjänster (Cloud Computing) relaterar både till 
applikationer som levereras som tjänster över Internet och till den 
hårdvara och systemmjukvara som tillhandahåller dessa tjänster. 
Applikationstjänstema talar vi om som Software as a Service. 

Hårdvaran och systemmjukvaran är det vi kallar för molnet (The 
Cloud). Cloud Computing karaktäriseras av två viktiga egenskaper; 
upplevt oändliga resurser och betalning per resursförbrukning. Den 
tjänst som erbjuds av molnet kallas Utility Computing, vilket 
närmast kan jämföras med resursförbrukning av t.ex. el och vatten. 

När ett moln är publikt tillgängligt kallas det för ett publikt moln 
(Public Cloud). Ett moln som inte görs publikt tillgängligt kallas 
för ett privat moln (Private Cloud). Ett moln som inte kan erbjuda 
upplevt oändliga resurser och betalning per resursförbrukning 
erbjuder inte cloud computing. 

Cloud Computing kan därför anses bestå av tjänsterna Utility 
Computing och Software as a Service 

stadsiedmngskontoret Q m ^et m öjligt att lagra personuppgifter ska 

Ragnar östbergspian i personuppgiftsbiträdesavtal tecknas med leverantören. 
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www.stockholm.se 




Stockholms 

stad 


Riktlinje 
Sida 44 (82) 


Krav på molntjänster 

Även i molntjänster ska informationen klassificeras enligt stadens 
modell. Man måste också följa de säkerhetskrav som finns. 

Bland annat ska det finnas spårbarhet, och det ska gå att ta ut 
loggar. 
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- Stadens godkända metoder för inloggning ska användas. 

- Informationen ska krypteras om 
informationsklassificeringen så kräver. 

- Det ska vara möjligt att revidera säkerheten, vilket innebär 
att staden måste ha administrationsrättigheter. 

- Hos leverantören av molntjänsten ska det finnas en 
avtalspart samt en kontaktperson eller kontakt-funktion. 

- Staden ska kunna ställa krav på fysisk placering av tjänsten, 
det vill säga inom Sverige eller övriga EU/EES. 

- Lagring av personuppgifter utanför EU/EES får bara ske om 
datainspektionen godkänt landet och avtalet om hantering. 

- Leverantören ska i avtal garantera informationens och 
tjänsternas tillgänglighet, spårbarhet, skydd och riktighet 
över överskådlig tid. 

Innan man beställer en molntjänst måste förvaltaren av 
grundläggande infrastruktur (GI) på stadsledningskontorets it 
avdelning kontaktas och få information om bandbredd och 
kapacitetsplanering. 

Samma krav ska gälla för molntjänster som för system hos centralt 
upphandlad driftsleverantör. 

Krav på försiktighet 

Riksarkivet anser att ”molntjänster” ännu är en omogen och 
oprövad lösning. Man rekommenderar därför stor försiktighet och 
ett noggrant övervägande om en myndighet planerar att använda 
dem för lagring. Däremot kan tjänsterna användas för bearbetning 
av arbetsmaterial som ännu inte nått status som allmän handling. 
Det innebär enligt Riksarkivet att om resultatet av arbetet i 
”molnet” arkiveras elektroniskt i en egen plattform, så kan kraven i 
Arkivlag (1990:782) och Arkivförordning (1991:446) uppfyllas. 

Tjänstele verans 

Då extern part kontrakteras för att ta hand om informationssystem i 
andra datamiljöer ska stadens säkerhetskrav finnas med i avtalet. 
Det är viktigt att granska och bedöma den organisatoriska och den 
tekniska säkerhetsnivån hos den utomstående parten, så att de 
motsvarar stadens krav. 
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Övervakning och granskning av tjänster från tredje part 

Innan man använder sig av externa resurser krävs en noga analys 
av de särskilda risker detta kan medföra. Resultatet av analysen ska 
tas med i underlaget vid förhandlingar med leverantören. Lägg 
särskild vikt vid leverantörens hantering av följande områden: 

- Riktlinjer för informationssäkerhet och metoder för kontroll 
av efterlevnad. 

- Avbrottsplan. 

- Incidenthantering. 

- Säkerhetsorganisation. 

- Acceptans av systemägare. 

Ändringshantering vid tjänster från tredje part 

I avtalet med utomstående part ingår en beskrivning av rutiner för 
ändringar. Beroende på typ av information kan det vara nödvändigt 
att omvärdera och analysera de risker som finns med 
ändring shanteringen. 

Anvisningar - hantering av tredjepartsleverantör av tjänster 

I avtalet ska framför allt följande punkter tas med: 

- Uppdragets omfattning och avgränsningar. 

- Typ av information som ska hanteras och dess 
informationsklas sificering. 

- Informationens/systemets placering i 
systemsäkerhetsmatrisen och vad detta innebär för 
leverantören. 

- Rättsliga krav och hur de ska uppfyllas. 

- Vilka åtgärder som behövs för att säkerställa att alla berörda 
parter, inklusive underleverantörer, är medvetna om sitt 
säkerhetsansvar. 

- Hur riktighet och sekretess upprätthålls och testas. 

- Hur tillgänglighet och spårbarhet upprätthålls och testas. 

- Hur åtkomsten ska begränsas både logiskt och fysiskt. 

- Hur verksamheten ska fortleva i händelse av en katastrof. 

- Hur informationen får spridas och hur den ska förstöras. 
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Stockholm Stad ska ha rätt att genomföra revision av säkerheten 
hos leverantören och kunna kontrollera att avtalade regler följs. 
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10.3 Systemplanering och systemgodkännande 


Syfte: Att minimera risken för systemfel. 
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Kapacitetsplanering 

Det krävs både planering och förberedelser för att säkerställa att det 
finns kapacitet och resurser för att leverera den systemprestanda 
som krävs. För att minska risken för överbelastning av systemet 
ingår i planeringen även framtida kapacitetskrav. 

Det ska finnas en skriftlig rutin både för driftgodkännande av 
it-system och för bedömning av framtida kapacitetsbehov. Detta för 
att minska risken för systemfel och överbelastning i nätverk eller 
system. 

Tanken med kapacitetsplanering är att förutse eventuella problem 
med kapacitet eller prestanda. För det behövs regelbundna 
mätningar och uppföljningar, framför allt av de system som är 
kritiska för verksamheten. 

Innan ett system sätts i drift ska man identifiera, värdera och 
besluta om säkerhetskraven. Systemet ska även testas innan det 
används och vara godkänt av styrgrupp eller motsvarande. 
Informationsklassificering typ B ska vara genomförd. 

Acceptanstestet beskrivs i projektets styrande dokument Testplan. I 
testplanen anger man under vilka förhållanden leveranstesten ska 
genomföras, till exempel: 

- Teknisk miljö. 

- Omfattning av testarbetet. 

- Volymer av testdata. 

- Antal användare och kategorier som ska testa. 

- Användarnas förkunskaper. 

- Faktorer som mäts. 

Service Level Agreement (SLA), som ingår i Drift- och 
förvaltningsavtal, ska beslutas och kommuniceras till berörda 
parter. 

Beslut om extern leverantör 

Innan man fattar beslut om att använda en extern it-leverantör ska 
staden genomföra en riskanalys. Vidare ska staden kontrollera hur 
avtalet tillämpas och se till att de tjänster som utförs uppfyller alla 
krav. 
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Alla krav på tjänsteleveranser ska regleras genom ett så kallat 
Service Level Agreement (SLA). Avtalet ska särskilt reglera 
följande: 

- Tjänstens tillgänglighetstider. 

- Tjänstens användarkapacitet. 

- Informationssäkerhet. 

- Undantag. 

- Förändringar i tjänsten. 

- Tillåtna avbrott. 

o 

- Åtgärder vid avbrott. 

- Backup. 

- Dokumentation och statistik. 

- Support. 

- Mätning och uppföljning av SLA-uppfyllnad. 

- Viten. 

Om tjänsten innehåller behandling av känsliga uppgifter, 
personuppgifter eller liknande ställs särskilda krav på hur dessa ska 
hanteras. 

Kapacitetsbehov och prestanda hos lagringsutrymme, processorer 
och liknande ska övervakas och följas upp. 

Kontroll av filtyper, filstorlekar och liknande tekniska uppgifter ska 
utföras av tekniskt driftansvarig, antingen genom stickprov eller på 
beställning från staden. 

10.4 Skydd mot skadlig kod 


Syfte: Att säkerställa systemintegritet för programvara och riktighet 
i information. 
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För att upptäcka, förebygga och skydda mot skadlig programkod 
ska det finnas föreskrifter och instruktioner för hur man hanterar 
detta och eventuella incidenter som orsakas av koden. Här ska 
också finnas anvisningar för hur användare kan identifiera, åtgärda 
och rapportera möjliga virusangrepp. 

Skydd mot skadlig kod baseras på programvara, användarnas 
säkerhetsmedvetande samt skyddsåtgärder för åtkomst. 

All utrustning som används av Stockholm stad ska, om det är 
tekniskt möjligt och motiverat av säkerhetsskäl, innehålla program 
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som kan upptäcka skadlig kod (antivirusprogram). Programmen 
kontrollerar hårddisken och uppdateras regelbundet per automatik. 

o 

Åtgärder mot skadlig kod 

Skadlig kod (virus, maskar, logiska bomber, trojaner, 
spionprogram) innehåller funktioner vars syfte är att påverka 
datorer, kommunikation och information negativt. 

Det behövs olika typer av skyddsåtgärder för att undvika risker 
med att ladda ner filer och program, antingen från eller via ett 
extern nätverk eller från ett annat medium. 

Alla datorer inom stadens verksamhet, servrar och klienter ska, så 
långt det är tekniskt möjligt, vara skyddade mot skadlig kod och 
skadliga program. Skyddet aktiveras automatiskt då datorn startas 
och ska inte vara möjligt att avaktivera. Uppdatering av 
antivirus skyddet ska utföras automatiskt vid anslutning till stadens 
nätverk. Om detta inte är möjligt ska skyddet uppdateras manuellt. 

Centralt beslutade produkter ska så långt som möjligt användas. 
Rutiner för hur man använder dessa hanteras av 
stadsledningskontoret. Programvara som installeras i stadens 
datorer ska vara certifierad (godkänd av behörig beställare). 

Filter mot surfning kan hindra åtkomst till webbsidor och 
webbadresser (URL) med skadlig påverkan. 

Säkerhetsuppdateringar (patchar) 

Säkerhetsuppdateringar ska alltid bedömas innan aktuell patch kan 
installeras. Konsekvensen av att avstå respektive genomföra en 
säkerhetsuppdatering ska alltid analyseras. Det ska finnas rutiner 
för att hantera leverantörers säkerhetsuppdateringar. 

Nya virussignaturfiler ska installeras inom 24 timmar efter 
utgivning på samtliga servrar. 

Relevanta utgivna säkerhetspatchar ska testas och installeras så fort 
som möjligt, senast inom sju dygn. Det gäller både operativsystem 
och applikationer. 

Säkerhetsåtgärder mot mobil kod 

Inom Stockholms stads nätverk och resurser måste det finnas skydd 
mot skadlig mobilkod, antingen genom tekniska lösningar eller 
genom att spärra mottagningen av mobil kod (inaktivera ActiveX, 
Java, Flash, etc.). 
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En godkännandeprocess för att aktivera en eller flera av dessa 
funktioner ska finnas. 

Informationssäkerhetssamordnaren ska ha gett sitt godkännande 
innan beslut fattas 

10.5 Säkerhetskopiering 


Syfte: Att bevara riktighet, systemintegritet och tillgänglighet 
hos informationen och hos resurser för informationsbehandling. 
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Det ska finnas rutiner för hur man inför en beslutad policy och en 
strategi för säkerhetskopiering av data, liksom för att öva hur man 
återställer data inom rimlig tid.(Se även avsnitt 14.1.) 

Utrymme eller skåp som innehåller säkerhetskopior ska 
brandskyddas enligt normer från försäkringsinstitut. Kritiska 
säkerhetsfunktioner, som till exempel återställning av 
säkerhetskopior, ska övas och kontrolleras minst en gång per år. 
Säkerhetskopiorna ska förvaras i en annan byggnad än där systemet 
finns. 

Säkerhetskopiering av information 

Nivån på säkerhetskopiering av information och hur ofta det ska 
beslutas av objektets styrgrupp eller motsvarande. 
Säkerhetskopieringen ska schemaläggas, dokumenteras och utföras 
av behörig personal. 

Säkerhetskopiering (backup) innebär att filerna finns sparade i en 
kopia som ersätter originalet om dessa skadas eller försvinner. Alla 
användare ska informeras om vad som säkerhetskopieras och hur 
övriga delar ska hanteras. 

Säkerhetskopiering ska ske på det sätt som framgår av SLA/drift- 
och förvaltningsavtal. Det är respektive styrgrupp som beslutar hur 
ofta ett material ska säkerhetskopieras, var arkivkopior ska förvaras 
samt krav på återläsningstid. 

Datamedia förvaras i datamediaskåp eller motsvarande. Skåpet ska 
uppfylla Brandklass 90 P, godkänt av Statens Provningsanstalt. 

Säkerhetskopior förvaras i en annan byggnad minst 500 meter från 
platsen där systemet finns. Om detta inte är möjligt ska kopiorna 

o 

förvaras i annan brandcell än där systemet finns. Aterläsning av 
säkerhetskopia ska testas årligen. 
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10.6 Hantering av säkerhet i nätverk 


Syfte: Att säkerställa skyddet av information i nätverk och i 
tillhörande infrastruktur. 


Skydd av stadens egna datanätverk baseras på verksamhetens krav 
och kopplingar mot externa datanät. Hanteringen av säkerheten för 
nätverk kan sträcka sig över organisations-gränserna och kräver 
särskilda åtgärder. 

Känsliga data, som sänds via allmänna nät, kan kräva ytterligare 
skyddsåtgärder. Bland annat ska det finnas skydd mot interna och 
externa nätverksattacker samt möjlighet att använda kryptering i 
alla kommunikationer. 

o 

Åtkomst till information ska kunna nekas eller godkännas baserat 
på användaridentitet, arbetsbefattning eller andra systemspecifika 
villkor. Ansvar och anvisningar för hantering ska finnas för all 
utrustning som ingår i ett nätverk. 

Säkerhetsåtgärder för nätverk 

För att uppnå och behålla säkerhetsnivån i stadens olika nätverk ska 
det finnas anvisningar och instruktioner. Speciell hänsyn krävs vid 
kommunikation över organisationsgränser samt vid överföring av 
information som omfattas av sekretess. 

Staden ska ha ett gemensamt datakommunikationsnät, vilket ska 
hållas samman som en leverans. Stadens övriga driftsleverantörer 
ska genom säkra förbindelser kunna anslutas till nätet. 

Information ska kunna överföras oförvanskad i nätverk. 

All extern trafik, riktad till den egna organisationen och baserad på 
TCP/IP, ska gå via brandvägg och filtreras utifrån 
verksamhetsbehoven. Här måste man ta hänsyn till om det gäller 
åtkomst till stadens gemensamma resurser eller egen 
förvaltning/bolag/skola och vem som vill nå aktuell resurs 
(behörighetsaspekt). Generellt sett ska oönskad trafik vara spärrad. 

Följande grundfunktioner ska finnas i en brandvägg: 

- Paketfiltrering (TCP/UDP portar, IP-adresser). 

- Tillståndsbaserad filtrering (autenticering). 
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- Övervakning av trafik (loggar). 

Utgående internettrafik ska passera stadens utpekade 
passeringspunkter (till exempel proxyserver). Använd system för 
intrångsdetektering (IDS) för att spåra intrång och försök till 
intrång i stadens informationssystem. 

Portöppningar i brandväggar ska beslutas och dokumenteras av 
behörig beställare. Beslut om portöppning ska minst innehålla 
följande: 

- Syfte med portöppningen. 

- Beställare. 

- Tidsbegränsning. 

- Kontaktperson. 

Det ska vara möjligt att separera nät fysiskt från varandra. 
Sammankoppling av nät hos till exempel leverantör ska godkännas 
av staden. 

Systemklockor ska synkroniseras mot stadens NTP-server, vilken i 
sin tur ska vara synkroniserad mot atomur. 

Trådlösa nät (WLAN) 

Säkerhetsarkitektur för trådlösa nät omfattar följande: 

- WLAN ska alltid anslutas via brandvägg. 

- Identifiering ska alltid ske med certifikat eller 
engångslösenord. 

- Kontroller och penetrationstester ska ske regelbundet. 

- Nätverksnamnet ska inte anknyta till verksamheten. 

- Accesspunkterna ska vara skalskyddade. 

- Access till internet ska inte kunna ske utan inloggning. 

- IP-adresser via DHCP ska endast delas ut till kända klienter. 

- WLAN ska om möjligt vara krypterade med WPA-2. 

Säkerhet i nätverkstjänster 

Nivån på informationssäkerhet och tjänster samt verksamhetens 
krav på nätverkstjänsterna ska framgå tydligt i varje upphandling 
och överenskommelse om nätverkstjänster, oavsett om dessa utförs 
inom staden eller är utlagda. 

Leverantörens förmåga att hantera avtalade tjänster och 
informationssäkerhet ska på förhand dokumenteras och sedan följas 
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upp. Det ska också finnas ett avtal om rätten att få revidera och 
kontrollera. 

Nätverkstjänsternas säkerhetsåtgärder kan handla om höga krav på 
identifiering samt kryptering och rutiner för att begränsa åtkomst 
för exempelvis vissa användare under vissa tider. 

Innan nya nätverkstjänster upphandlas, kontakta S:t Erik 
kommunikation. 

10.7 Hantering av media 


Syfte: Att förhindra obehörigt avslöjande, förändring, borttagning 
eller förstörande av tillgångar samt avbrott i verksamhet. 
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Lagringsmedia ska kunna kontrolleras och ha fysiskt skydd. Det 
ska finnas driftrutiner för att skydda dokument, datamedia (till 
exempel band och diskar), in- och utdata samt system¬ 
dokumentation. 

Hantering av flyttbara datamedia 

Som flyttbara datamedia räknas till exempel skrivbara skivor, 
USB-stickor och externa hårddiskar, men också telefoner med 
inbyggd minnesenhet, smartphones, iPads och läsplattor. 

Flyttbara media har stor lagringskapacitet och kan medföra skada 
för staden om de kommer i orätta händer. Om de tas med utanför 
arbetsplatsen ska de inte innehålla mer information än absolut 
nödvändigt. 

Användaren ansvarar för att känslig information är krypterad. 

Där det är nödvändigt och praktiskt möjligt, bör tillstånd krävas för 
att avlägsna media från organisationen och avlägsnade media bör 
noteras för att bibehålla spårbarhet. 

Alla media bör förvaras på säker plats och i lämplig miljö enligt 
tillverkarens specifikationer. 

Information som lagrats på media och som kräver tillgänglighet 
längre än medias livstid (i enlighet med tillverkarens 
specifikationer) bör också lagras på annan plats för att undvika 
informationsförlust på grund av att media gradvis förstörs. 
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Registrering av flyttbara media bör övervägas för att begränsa 
möjligheterna till dataförlust 

Avveckling av media 

När en media inte längre behövs bör innehållet i ett återanvändbart 
medium som ska avlägsnas från organisationen göras omöjligt att 
återställa 

Lagringsmedia ska förstöras eller raderas på ett säkert sätt. För att 
kunna spåra hanteringen ska man dokumentera hur känsligt 
material avvecklas. 

Det är viktigt att förhindra att lagrad information kan användas i 
oönskat syfte. Ett register ska finnas för all media, till exempel 
band och disk, med uppgift om var de förvaras. Avyttring ska 
dokumenteras. Av dokumentationen ska framgå datum för 
avyttring, typ av information och till vem lagringsmediet har 
lämnats. 

Destruktionsintyg från destruktionsfirman eller leverantören som 
återtagit utrustningen ska arkiveras genom objektsförvaltare-it eller 
motsvarande. 

Lagringsmedia som hanterat information med klassificerings- 
parameter 2 eller 3 för åtkomstbegränsning/sekretess får skrivas 
över med godkänt verktyg eller förstöras. 

Lagringsmedia som hanterat information med 
klassificeringsparameter 1 för åtkomstbegränsning/sekretess får 
överskrivas och återanvändas i ”nivå 1 system” eller förstöras. 

Vid avyttring av lagringsmedia med känsligt innehåll ska innehållet 
göras oläsbart. 

Destruktion ska ske på ett miljömässig korrekt sätt. 

Rutiner för informationshantering 

Informationsklassificering, säkerhetsprofil och verksamhetens 
lokala anvisningar är de regler som beskriver hur information ska 
hanteras. Regelverket ska minst omfatta följande avsnitt: 

o 

- Atkomstrestriktioner. 

- Säkerställande att inmatad data är fullständig. 

- Validering av utdata. 
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- Upprättande och underhåll av register över behöriga 
mottagare (användare). 

- Skydd av lagrad data/information. 

- Förvaring. 

Reglerna gäller för information i dokument, datasystem, nätverk, 
på datorer, smartphones, läsplattor och externa datamedia. 

Säkerhet för systemdokumentation 

Systemdokumentation ska skyddas mot obehörig åtkomst utifrån 
aktuell klassificering och säkerhetsprofil. Dokumentationen ska 
vara uppdaterad och godkänd av objektsförvaltare. 

10.8 Utbyte av information 


Syfte: Att behålla säkerheten för information och programvara som 
byts inom organisationen och med externa enheter. 
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Utbyte av information och programvara mellan organisationer ska 
ske utifrån en formell, överenskommen utbytespolicy och enligt lag 
(se avsnitt 15). 

Det ska finnas rutiner och regler som skyddar såväl information 
som fysiska media som innehåller information. 

Överenskommelser om utbyte 

Vid informationsutbyte mellan staden och externa parter ska man 
gemensamt bedöma behovet av skydd mot åtkomst, riktighet och 
tillgänglighet. Det ska vara tydligt vem som ansvarar för vad. 

Försiktighet i vardagen 

Vid läsning i offentliga miljöer bör försiktighet iakttagas så att inte 
någon kan läsa över axeln. 

Telefonsamtal med känslig information ska ske där andra inte kan 
höra vad som sägs. 

Känslig information på whiteboard, blädderblock och motsvarande 
ska avlägsnas eller förstöras efter avslutat möte. 

Säkerhet vid transport 

Media som innehåller information ska skyddas mot obehörig 
åtkomst, missbruk eller förvanskning under transport utanför en 
organisations fysiska gränser. 





Stockholms 

stad 


Riktlinje 
Sida 55 (82) 


När det gäller media som innehåller känslig (sekretessbelagd) 
information ska man anlita tillförlitliga transportsätt eller bud. En 
förteckning över budfirmor ska godkännas av kommunstyrelsen. 
Det ska även finnas rutiner för identitetskontroll av bud. 

Emballaget runt mediet ska vara tillräckligt robust för att skydda 
innehållet mot skador som kan inträffa under transport, till exempel 
skador på grund av värme, fukt eller elektromagnetiska fält. Det 
ska också uppfylla kraven i tillverkarens specifikationer, till 
exempel för programvara. 

För att skydda känslig information från att avslöjas eller förändras 
av någon obehörig kan det vara nödvändigt med extra skydd: 

- Låsta transportbehållare. 

- Personlig leverans. 

- Förpackning som avslöjar försök att komma åt innehållet 
(detta är ett krav om innehållet är sekretessbelagt). 

I extremfall kan man dela försändelsen i mer än en leverans och 
skicka dem olika vägar. 

Elektroniska meddelanden 

Riktigheten i elektroniskt offentliggjord information måste 
skyddas. 

Innan information blir allmänt tillgänglig ska den godkännas 
formellt. För webbsidor ska det alltid finnas en ansvarig utgivare 
som ansvarar för rutiner och ser till att de följs. 

Förvaltningar och bolag ansvarar för att information som publiceras 
av den egna verksamheten i gemensamma system är korrekt. 

All publicering ska ske via en testmiljö, så kallad ”staging” eller 
”förhandsvisning”. 

10.9 Tjänster för elektronisk handel 
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Syfte: Att tillgodose säkerheten för e-handelstjänster och att de kan 
användas på ett säkert sätt. 





Stockholms 

stad 


Riktlinje 
Sida 56 (82) 


Elektronisk handel inom Stockholms stad ska vara säker och 
skyddas mot bedrägeri, avtalstvister och obehörigt avslöjande eller 
modifiering. 

Det är viktigt att vara medveten om risker och om vilka 
säkerhetsåtgärder som krävs när man använder e-handelstjänster, 
inklusive on-linetransaktioner. Detta gäller även riktigheten och 
tillgängligheten hos information som publiceras elektroniskt via 
allmänt tillgängliga system. 

Elektronisk handel 

Information i elektronisk handel som skickas över allmänna 
nätverk ska skyddas mot bedrägliga förfaranden, avtalstvister samt 
obehörigt avslöjande och modifiering. Identifiering sker med den 
metod och teknik som staden rekommenderar. 

Undvik förluster eller duplicering av transaktionsinformation med 
hjälp av lämplig teknik. 

Välj en betalform som skyddar mot bedrägeri. Transaktionen och 
datakommunikationen kan skyddas med hjälp av den 
krypteringsteknik som staden rekommenderar. 

E-handel kan byggas upp med säkra metoder för identifiering, till 
exempel genom att använda öppen-nyckelkryptering och digitala 
signaturer för att minska riskerna. (Se även 12.3.) Även tillförlitliga 
tredje parter kan användas där sådana tjänster behövs. 

10.10 Övervakning 


Syfte: Att upptäcka obehöriga informationsbehandlingar. 


Stadsledningskontoret 

Ragnar Östbergsplan 1 
10535 STOCKHOLM 
Telefon 08 508 29 355 
Växel 08 508 29 000 
registratur-kfks@stockholm.se 
www.stockholm.se 


Revisionsloggning 

Kritiska händelser och sådant som rör säkerheten i drift och 
datakommunikation ska övervakas och vara spårbara. 
Organisationen ska följa alla de lagkrav som rör övervakning och 
loggning. 

Varje transaktion ska kunna knytas till den som utfört den. Det kan 
man i första hand åstadkomma med automatiska 
loggningsfunktioner, alternativt skriftligt. Övervakningen ska 
inriktas på händelser som rör drift, transaktioner och säkerhet. 
Använd systemövervakning för att kontrollera resultatet av de 
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säkerhetsåtgärder som används. Verifiera att policyn för åtkomst 
följs. 

Logghantering 

Behovet av loggning och uppföljning av loggar bestäms av 
objektsägaren och utgår från verksamhetens behov och en 
informationsklas sificering. 

Varje användare ska ha en unik identifikation (användar-ID). 

Denna ska kunna användas för att spåra aktiviteter kopplade till den 
ansvariga individen. 

Loggning och analys av obehöriga åtkomstförsök till 
informationstillgångar, som exempelvis nätverk och information, 
ska ske regelbundet, oavsett klassificeringsresultat. 

o Q 

Åtkomst till loggar baseras pa informationsklassificeringen. 

Loggar ska finnas så att aktiviteter som utförs av personer med hög 
behörighet kan spåras. De ska även skyddas mot radering, 
manipulation och obehörig åtkomst. 

Driftsorganisationen ska se till att nödvändiga loggar samlas in för 
att genomföra en felsökning. Vid behov ska loggarna kunna 
redovisas för staden. 

Klocksynkronisering 

Korrekt inställning och exakt funktion av datorklockor är viktigt 
för att säkerställa giltigheten hos de loggar som förs. Samtliga 
datorklockor i stadens nätverk bör ställas in på en överenskommen 
standardtid. Datorklockoma ska därför om möjligt 
tidssynkroniseras automatiskt, annars manuellt. 
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11 Styrning av åtkomst 

o 

Syfte: Åtkomst till information, it-system och nätverk bestäms 
utifrån verksamhetens behov och krav på säkerhet. 


11.1 Verksamhetskrav på styrning av åtkomst 

o 

Åtkomst till information och till resurser för 
informationsbehandling och verksamhetsprocesser bestäms utifrån 
verksamhetens behov och krav på säkerhet. Reglerna baseras på 
policyer för spridning och behörighet. Det innebär att åtkomst och 
behörighet ska tilldelas formellt och endast efter behov samt följas 
upp regelbundet. 

Den som behöver åtkomst till informationstillgångar för att kunna 
utföra sina arbetsuppgifter ska ha åtkomsträttigheter (behörigheter). 

Systemadministratörer och systemtekniker ska ha individuella 
användaridentiteter. Om detta inte är möjligt används en manuell 
logg. 

Den som använder Stockholms stads informationstillgångar på ett 
sätt som strider mot stadens regler kan ställas till ansvar. 

11.2 Styrning av användares åtkomst 


Syfte: Att säkerställa behörig användares åtkomst och förhindra 
obehörig åtkomst till informationssystem. 
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Formella rutiner ska styra tilldelningen av åtkomsträttigheter till 
informationssystem och tjänster. Rutinerna ska täcka allt från den 
första registreringen av nya användare till slutlig avregistrering av 
användare som inte längre behöver åtkomst till informations¬ 
system och tjänster. Priviligierade åtkomsträttigheter, som tillåter 
användare att förbigå normala systemspärrar, kräver särskild 
försiktighet. 

Användarregistrering 

Hantering av behörigheter ska ske enligt anvisningarna. 
Verksamhetschef beslutar om aktuell behörighet. 

Vid tilldelningen av behörigheter i centrala system beslutas 
beställningen av verksamhetschefen. Beställningsrutiner för lokala 
system tas fram av respektive förvaltning och bolag utifrån 
delegations- och attestordningen. 
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Användarna ska ha unik användaridentitet. Grupp-ID får bara 
tillåtas om det är absolut nödvändigt av verksamhets- eller driftskäl 
och ska då dokumenteras och godkännas av verksamhetsansvarig 
chef. 

Behörighetsadministratörer ska utses för stadens centrala och 
lokala verksamhetssystem. 

Genomgång av konton ska ske minst en gång per år av 
behörighetsadministratören. 

För grupper med höga behörigheter ska det ske oftare. Kontrollen 
avser uppgifter om kontoinnehavaren fortfarande är anställd eller 
om arbetsuppgifterna har förändrats. I det senare fallet behöver 
behörigheterna ses över. 

Behörighetsadministratören ska genast informeras om personal 
slutar sin anställning eller om det sker någon annan förändring som 
påverkar behörigheten. 

Tilldelning av behörigheter till personer med stadsövergripande 
arbetsuppgifter sker enligt instruktioner från objektsförvaltare it för 
det aktuella systemet. 

Extern behörighet 

För tilldelning av behörigheter utanför den egna förvaltningen 
gäller att åtkomst beställs och godkänns via serviceportalen. Om 
detta inte är möjligt skriver verksamhetschefen under beställningen, 
som sedan skickas till objektsförvaltaren för det aktuella systemet. I 
beställningen anges giltighetstid. 

För vikarier och inhyrd personal ska tilldelning av behörigheter ske 
enligt särskilda instruktioner. På arbetsplatser som anlitar inhyrd 
personal ska det finnas ett antal tjänstekort med behörighetskonton, 
som förvaras inlåsta i slutna kuvert. 

Behörigheten ska sättas på en sådan nivå att det är möjligt att utföra 
arbetsuppgifter, men ingenting mer. 

Hantering av särskilda rättigheter 

Tilldelning och användning av privilegierad åtkomsträtt 
(administratörsrättighet) ska begränsas och styras. 

Särskilda rättigheter, till exempel priviligierad åtkomst, ska 
användas mycket restriktivt. När särskilda rättigheter används för 
till exempel åtkomst till operativsystem, databassystem och 
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nätverks administration ska användaridentiteten vara en annan än 
den som används i den normala verksamheten. Inloggning ska i 
dessa fall alltid ske med stark identifiering (2-faktor). 

Lösenordshantering 

Ett starkt lösenord innehåller alla sorters tecken; små bokstäver, 
stora bokstäver, siffror och specialtecken. Ju längre och 
komplexare lösenord, desto längre tid tar det att knäcka det. 

- Välj aldrig ett lösenord som kan kopplas till dig på något sätt. 

- Ha med alla typer av tecken i lösenordet, det vill säga små 
bokstäver, stora bokstäver, siffror och specialtecken. 

- Om du måste skriva ner ditt lösenord, gör det på ett papper 
och behandla det som ett värdepapper. 

- Ge aldrig ut ditt lösenord till någon annan. 

- Lösenordet ska bestå av en blandning av minst två sorters 
tecken. 

- Användaren ska tvingas byta lösenord minst var 90:e dag. 

- Repeterbarhet av lösenord ska vara förhindrat i minst 13 
generationer. 

- Låsning av användare på grund av inaktivitet ska ske efter 60 
dagar där så medges. 

- Maximalt sex felaktiga försök till inloggning ska vara tillåtet. 
Därefter låses användaridentiteten. 


Lösenordet ska innehålla minst åtta av följande tecken: 


:; < = >?@! "#$%&'()* + ,{|}~./[\]a_' 
012456789 

ABCDELGHIJKLMNOPQRSTUVWXYZÅ ÄÖ 
abcdefghijklmnopqrstuvwxyzåäö 
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Krav på PIN-kod 

En PIN-kod används på enheter som inte har tangentbord med 
bokstäver och siffror, till exempel passersystem, mobiltelefoner 
och tjänstekort. 

- Pinkoden ska bestå av minst 4 numeriska tecken. 

- Godkända tecken är 0-9. 

- Icke godkända kombinationer är enkla siffer-kombinationer, 
exempelvis 1111, 2222, 1234, samt sifferkombinationer som 
på annat sätt är lätta att gissa sig till, exempelvis de fyra sista 
siffrorna i personnummer eller telefonknytning. 
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- Efter tre misslyckade inloggningsförsök ska kortet låsas och 
endast kunna låsas upp av tjänstekortsadministratör. 

Den som har ett tjänstekort får inte avslöja sin PIN-kod eller annan 
säkerhetsrutin. Kortet ska skyddas som ett värdeföremål, och man 
får inte förvara en anteckning om PIN-kod så att någon annan får 
del av uppgifterna eller kan förstå att noteringen avser PIN-kod. 
Man får inte heller förvara PIN-koden tillsammans med 
tjänstekortet eller lämna ett aktiverat tjänstekort obevakat. 

Granskning av användares åtkomsträttigheter 

För användare ska åtkomst till informationstillgångar ske genom ett 
system för behörighetskontroll (BKS), där varje användare har en 
unik identitet. Systemet ska vara integrerat i de plattformar som 
väljs för serveroperativsystem, databashanterare och tillämpningar. 
Undantag kan förekomma, men ska alltid hanteras i samråd med 
stadens informationssäkerhetschef. 

Lösenord och koder ska generellt vara individuella och får inte 
överlåtas eller lånas ut. Möjlighet till spårbarhet ska alltid finnas. 

SQL-, ODBC-, ADO (ActiveX Data Objectsj-tjänster får inte 
installeras så att it-systemets databas kan anropas från klient utan 
att åtkomsten prövas. 

För autenticering (identifiering) av användare ska av staden 
rekommenderade tekniker användas: 

1. Stadens tjänstekort. 

2. E-legitimation/BankID. 

3. Biometriska lösningar. 

4. Användarnamn och lösenord. 

I offentliga miljöer, där allmänheten har tillgång till datorer, ska id- 
kort, lånekort, tidbokningslista eller motsvarande användas för att 
hindra anonym användning. 

11.3 Användares ansvar 
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Syfte: Att hindra dels obehörig åtkomst, dels kompromettering eller 
stöld av information och resurser för informations-behandling. 


Det är viktigt att de användare som är behöriga bidrar till att stärka 
säkerheten. Det gäller särskilt användningen av lösenord och PIN- 
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koder samt säkerheten för användarutrustning. Policyn ”renstädat 
skrivbord och tom bildskärm” minskar risken för otillåten åtkomst 
till eller skada på pappersdokument, media och resurser för 
informationsbehandling. 

Obevakad användarutrustning 

Alla användare ska se till att obevakad utrustning har tillräckligt 
skydd mot obehörig åtkomst, användning och stöld. Det innebär att 
till exempel lösenordskyddad skärmsläckare är aktiverad, skärmen 
skyddad med PIN-kod eller grafiskt mönster samt att utrustningen 
har adekvat stöldskydd. 

Policy for renstädat skrivbord och tom bildskärm 

Känslig och kritisk information på papper eller på elektroniska 
lagringsmedia ska låsas in när de inte används, särskilt när 
lokalerna är obemannade. 

Datorer, smartphones och läsplattor ska ha skydd mot obehörig 
åtkomst, förlust eller skada. Det kan vara automatisk låsning av 
skärm, lås, PIN-kod eller kryptering. 

Dokument som innehåller känslig eller sekretessbelagd information 
ska omedelbart efter utskrift avlägsnas ur skrivaren. 

Om det är möjligt ska skrivare ha en funktion som innebär att den 
som skriver ut måste ange en personlig kod för att få fram 
utskriften. Då kan den som är behörig bara få sin utskrift när han 
eller hon befinner sig intill skrivaren. Utskriftsköer ska rensas 
automatiskt efter högst 24 timmar. 

11.4 Styrning av åtkomst till nätverk 


Syfte: Att förhindra obehörig åtkomst till nätverkstjänster. 


Användares åtkomst till nätverk och nätverkstjänster får inte 
äventyra säkerheten. Därför bör man säkerställa att det finns 
lämpliga gränssnitt mellan organisationens nätverk och nätverk 
som ägs av andra organisationer samt publika nät. Lämpliga 
metoder ska användas för identifiering av användare och 
stadsiedningskontoret utrustning. Dessutom ska kontrollen av användares åtkomst till 

informationstjänster vara i funktion. 

Ragnar Östbergsplan 1 
10535 STOCKHOLM 
Telefon 08 508 29 355 
Växel 08 508 29 000 
registratur-kfks@stockholm.se 
www.stockholm.se 
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Policy för användning av nätverkstjänster 

Interna och externa nätverk betraktas som informationstillgångar. 
Därför ska åtkomst styras enligt samma principer som i övrigt. 
Stadens nätverk ska vara tydligt avgränsat mot omvärlden. 

Datakommunikation är en kritisk resurs som kräver speciell fokus 
på säkerhet. För servicetjänster on-line ska det finnas avtal med den 
part som har tillstånd till uppkopplingen. De datorer som inte är 
konfigurerade av staden och som ansluts till stadens nätverk ska 
endast kunna komma åt internet på ett spårbart sätt. 

Extern anslutning 

Externa besökare bör bara använda WLAN GUEST om de behöver 
Internetförbindelse. 

All extern kommunikation mot stadens nätverk ska ske via ID- 
portalen, Citrix-uppkoppling, VPN-lösning eller annan teknik som 
stadsledningskontoret rekommenderar. Vilken typ av identifiering 
som ska ske bestäms av den aktuella säkerhetsprofilen (via 
informationsklas sificering). 

All extern trafik riktad till den egna organisationen och som är 
baserad på TCP/IP ska gå via brandvägg och filtreras utifrån 
verksamhetsbehov. (Se Anvisningar för säkerhetsarkitektur i 
nätverk.) 

Skydd av extern diagnos- och konfigurationsport 

Diagnosportar för distansunderhåll ska vara avstängda och fysiskt 
skyddade när de inte används. När diagnosporten behöver användas 
ska åtkomsten vara styrd från staden. 

Nätverkssegmentering 

Grupper av informationstjänster, användare och informations¬ 
system ska skiljas åt i nätverk. 

Säkerheten i stadens nätverk ska kunna styras genom att man delar 
upp nätet i separata logiska nätverksdomäner, till exempel en 
extern, en för elever samt en intern domän som skyddas med 
rekommenderad teknik och skyddsåtgärder. Vidare ska nätverket 
kunna segmenteras så att kritiska tillgångar är extra skyddade. 

Uppdelning av nätverk ska baseras på informationens 
säkerhetsprofil (från informationsklassningen) och från 
Systemsäkerhetsmatrisen. 
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Styrning av routing 

Styrning av routing ska ske i stadens nätverk för att säkra att 
datauppkopplingar och informationsflödet inte bryter mot 
åtkomstpolicyn till verksamhetsprogrammen. Använd den metod 
och teknik som rekommenderas av stadsledningskontoret och dess 
nätverksleverantör. 


11.5 Styrning av åtkomst till operativsystem 


Syfte: Att förhindra obehörig åtkomst till operativsystem. 
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Säkerhetsanordningar används för att begränsa åtkomsten till 
operativsystem. Endast behöriga användare har åtkomst. 
Säkerhetsanordningarna ska kunna klara av följande: 

- Identifiera behöriga användare utifrån en särskild 
åtkomstpolicy. 

- Registrera lyckade och misslyckade försök till identifiering 
av system. 

- Registrera användningen av särskilda systemrättigheter. 

- Slå larm vid avvikelser från systemsäkerhetspolicyer. 

- Tillhandahålla lämpliga medel för identifiering. 

- I tillämpliga fall begränsa användarens uppkopplingstid 

Säker rutin för påloggning 

En rutin för påloggning ska dels vara enkel och effektiv att använda 
för behöriga personer, dels hindra obehörig åtkomst. 
Systeminformation, hjälprutiner och liknande ska inte visas förrän 
påloggningen är helt klar. Antalet tillåtna inloggningsförsök ska 
begränsas till max tre och misslyckade försök ska loggas. Det är 
lämpligt att rutinerna varnar för obehörig användning av systemet. 
Lösenordet eller PIN-koden ska inte visas, utan tecknen ska döljas 
med symboler. Lösenordet eller PIN-koden ska inte heller 
överföras i klartext. 

Identifiering och autentisering av användare 

Samtliga behöriga användare får en unik användaridentitet för 
inloggning. En lämplig teknik för identifiering används för alla 
slags användare, inklusive inhyrda konsulter, elever, anställda, 
teknisk supportpersonal och administratörer. 

I mycket speciella fall kan det vara en fördel för verksamheten att 
använda delade användaridentiteter för en grupp användare eller en 
särskild arbetsuppgift. För att använda delade användaridentiteter 
(grupp-ID) måste användningen vara tidsbegränsad, ha behörig 
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beställares godkännande och vara dokumenterad. Se även 
Anvisningar för hantering av behörighetsadministration. 

Stark autenticering ska användas, d.v.s. att användaren har något 
föremål som t.ex. mobiltelefon med SMS, eller tjänstekort med 
PIN-kod för inloggning. 

Lösenordsrutin 

Det system som används för att hantera lösenorden ska vara 
interaktivt och se till att lösenorden håller god kvalitet. Systemet 
ska 

- tvinga användaren att byta lösenord med jämna tidsintervall 

- hindra återanvändning av tidigare använt lösenord 

- se till att lösenordet inte visas på skärmen när det skrivs in. 

Lösenord ska aldrig visas eller lagras i klartext eller i annan 
oskyddad form. Fabriksinställda lösenord i programvaror ska 
ändras i samband med installationen. 

Användning av systemverktyg 

Systemverktyg som används för att övervaka tjänsteleveranser ska 
beslutas i samråd med stadsledningskontoret. 

Begränsning av uppkopplingstid 

Efter resultat från riskanalys så skall det för vissa system vara 
möjligt att begränsa dygnstider för tillåten uppkoppling. 

11.6 Styrning av åtkomst till information och 
tillämpningar 


Syfte: Att förhindra obehörig åtkomst av information i 
applikationer. _ 
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Säkerhetsmekanismer ska användas för att begränsa åtkomst till 
och inom tillämpningssystem. Logisk åtkomst till 
tillämpningsprogram och data ska begränsas till behöriga 
användare. Tillämpningssystem ska 

- styra användares åtkomst till information och funktioner i 
tillämpningssystem enligt policy 

- ge skydd mot obehörig åtkomst via systemhjälpmedel och 
operativ s y stemprogram 

- skydda mot skadlig programvara med funktioner som kan 
åsidosätta eller passera den styrning som finns 





Stockholms 

stad 


Riktlinje 
Sida 66 (82) 


- inte äventyra säkerheten i andra system som delar 
informationsresurserna. 

En bestämd lagringsstruktur som utgår från verksamhetens 
organisation och ansvarsförhållanden ska användas för att skydda 
mot obehörig åtkomst. 

Informationen lagras i anvisade system eller i särskilda kataloger 
på centrala lagringsplatser. 

När information lagras på lokala hårddiskar ska det finnas en kopia 
på filservrama. Användare av extern lagringsenhet är skyldig att se 
till att stadens information som lagras lokalt kopieras till 
filservrama. 

Användare som hanterar information lokalt ska vara medveten om 
informationens sekretessklassificering och hantera informationen 
därefter. 

Särskilt känslig information, till exempel sekretessmarkerad, ska 
inte förvaras på externt lagringsmedia utan att vara inlåst eller 
krypterad. 

Isolering av känsliga system 

System som innehåller information som omfattas av lag om 
säkerhetsskydd får endast vara åtkomliga från stadens datorer och 
verksamhetsställen. I annat fall ska man göra en riskanalys och 
åtgärda eventuella risker. 


11.7 Mobil datoranvändning och distansarbete 


Syfte: Att säkra informationssäkerheten vid användning av 
mobil utrustning och annan utrustning för distansarbete. 
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Med mobil datoranvändning menas möjlighet att komma åt stadens 
system utanför ordinarie arbetsplats. Var medveten om risken med 
att använda trådlösa publika nätverk. Tänk på att det i de fallen 
alltid finns en risk att obehöriga kan ta del av informationen. 

För att få åtkomst till program och data krävs lösningar som ger 
säkerhet. Kommunikationen ska skyddas till den nivå som 
framkommit vid informationsklassning. Använd de lösningar som 
stadsledningskontoret rekommenderar. Skyddet bör stå i 
proportion till de risker dessa arbetsmetoder orsakar. Vid mobil 
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bearbetning handlar det till exempel om risker med att arbeta i en 
oskyddad miljö. Vid distansarbete bör organisationen använda 
skydd för arbetsplatsen och se till att lämpliga anordningar är 
installerade för detta arbetssätt. 

Uppkoppling mot stadens nätverk från offentliga miljöer ska ske 
via ID-portalen eller med hjälp av en lösning som 
stadsledningskontoret godkänt. Hur man väljer att identifiera 
användarna bestäms av den säkerhetsprofil som tagits fram vid 
informationsklas sificeringen. 

All lagrad information på intem minnesenhet ska om möjligt 
krypteras. Använd stadens rekommenderade lösningar. 

Innehållet i informationen avgör om den behöver krypteras. 

Virusskydd ska vara installerat och aktiverat på mobila enheter om 
det är motiverat av säkerhetsskäl och om den tekniska plattformen 
stöder detta. Skyddet ska aktiveras automatiskt då enheten startas. 
Uppdatering av virusskyddet ska ske automatiskt vid anslutning till 
stadens nätverk. Om detta inte är möjligt gäller daglig, manuell 
uppdatering. (Se Skydd mot skadlig kod.) 

Utrustningen ska låsas efter max 10 minuters inaktivitet om den 
tekniska plattformen medger detta. 

Bärbar utrustning som ägs av staden ska skyddas med lösenord 
eller motsvarande. (Se Lösenordshantering.) Den ska också vara 
stöldskyddsmärkt. (Se Anvisningar för förteckning och märkning 
av tillgångar.) 

Registrering och säkerhetsinställningar av utrustning för mobil 
datoranvändning skall ske med, av stadsledningskontoret beslutad 
konfiguration, som endast kan förändras av behörig tekniker. 

För att skydda stadens informationsförsörjning och mobila enheter, 
till exempel Iphones och Ipads, ska ”Mobile Device Management” 
användas. 

Distansarbete 

Med distansarbete menas en arbetsplats i hemmet med utrustning 
och kommunikationsförbindelse som arbetsgivaren tillhandahåller 
Samma säkerhetsnivå ska gälla för distansarbetsplats som för 
ordinarie arbetsplats. Det innebär att kommun ik ationen ska skyddas 
till den nivå som framkommit vid informationsklassning. Använd 
lösningar som stadsledningskontoret beslutat. Skyddet ska 
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aktiveras automatiskt när datorn startas. (Se även Mobil 
datoranvändning och kommunikation.) 

Utrustningen ska följa stadens anvisningar för standardisering av 
datorer och vara stöldskyddsmärkt. 

Den får endast användas av den anställde. Information ska lagras 
centralt. Datom ska låsas efter 10 minuters inaktivitet. Privat 
utrustning ska inte användas. 

Mobila enheter 

Anställda eller inhyrd personal inom Stockholms stad kan i tjänsten 
använda egen inköpt hårdvara, så kallad Bring Your Own Device 
(BYOD). En BYOD-enhet är till exempel en smartphone, läsplatta 
eller dator. 

Stadens möjlighet att kontrollera och styra enheten avgör 
möjligheterna till åtkomst i stadens system. 

Om enheten ska anslutas till tjänster i stadens informations¬ 
försörjning, till exempel e-post eller Citrix, gäller följande: 

- Enheten ska ha stöd för det av stadsledningskontoret 
beslutade mdm-verktyget. 

- Ett Mobile Device Management-verktyg (MDM-program) 
ska vara installerat och styrt av staden. 

- Enheten ska vara krypterad och skyddas med PIN-kod eller 
grafiskt lösenord. 

- För åtkomst till stadens tjänster ska man använda en metod 
som är godkänd av staden. 

- Användaren ska underteckna ett kompletterande avtal innan 
han eller hon kan få åtkomst till stadens tjänster. 

Applikationer och programvaror (appar) som installeras på BYOD 
ska bekostas av användaren om man inte har kommit överens om 
något annat med arbetsgivaren. 

All information som användaren skapar i tjänsten eller erhåller i 
tjänsten på en BYOD-enhet ägs av staden. 

Man ska komma överens med verksamhetsansvarig chef, 
uppdragsgivare i staden eller motsvarande hur information som 
skapats och tagits emot på enheten ska hanteras när uppdragen för 
staden är avslutade. 
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Förlorad enhet som har installerad Mobile Device Management¬ 
programvara ska snarast anmälas till servicedesk. 

Staden kan vid tillfälle spåra, få åtkomst till samt radera 
information på en BYOD-enhet. 

Om användaren av BYOD-enheten väljer att bara få åtkomst till 
den internetkoppling som är kontrollerad av staden behövs inget 
Management verktyg (MDM-program) på enheten. 


Staden äger 
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1 

Stadens dator/enhet konfigurerad enligt stadens anvisningar - Full 
åtkomst. 

2 

Privat dator/enhet med MDM - Begränsad åtkomst. 

3 

Stadens dator/enhet med administrativa rättigheter - Begränsad 
åtkomst. 

4 

Privat dator/enhet utan MDM - Mycket restriktiv åtkomst. 


Grundprinciper för åtkomst med BYOD 


12 Anskaffning, utveckling och 
underhåll av informationssystem 

Systemutveckling ska alltid ske utifrån fastställda modeller och 
metoder. För samtliga informationstillgångar gäller att det ska 
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finnas en sammanställning av säkerhetskraven efter genomförd 
riskanalys och informationsklassificering. 

Inför beslut om att anskaffa eller nyutveckla ett system ska 
stadsledningskontoret godkänna beslutet med hänsyn till 
kapacitetsutnyttjande och övriga aspekter som har betydelse för 
stadens samlade informationsförsörjning. 


12.1 Säkerhetskrav på informationssystem 


Syfte: Att se till att säkerheten är integrerad i informations¬ 
systemet. 


Informationssystem omfattar operativsystem, infrastruktur, 
verksamhetstillämpningar, inköpta standardprodukter, tjänster och 
användarutvecklade tillämpningar. Utformningen och införandet av 
informationssystem som stödjer verksamhetsprocessen kan vara 
avgörande för säkerheten. Det gäller att identifiera och besluta om 
krav på säkerhet innan man börjar utveckla och/eller införa 
informationssystem. 

Alla säkerhetskrav ska identifieras när ett projekt går igenom en 
kravspecifikation. Kraven ska motiveras, beslutas och 
dokumenteras som ett led i hela analysen av ett 
informationssystem. 

Stockholms stads säkerhetsdomän byggs i flera lager kring den 
information som ska skyddas. 
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Analys och specifikation av säkerhetskrav 

Säkerhetskraven ska vara uppfyllda innan driften godkänns. 

Informationssäkerhet vid utveckling och tillämpning av 
internettjänster 

När man utvecklar nya tillämpningar och/eller förändringar i sker i 
befintliga tjänster ska man använda elektronisk identifiering. Den 
stöder framför allt tre huvudfunktioner: 

- Stark autentisering (säker inloggning). 

- Elektronisk signatur (säker utfärdare). 

- Kryptering (insynsskydd av information). 
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För information som är offentlig ska det finnas skydd mot 
förvanskning och förlust. Lägg särskild vikt vid att koden i webb- 
tillämpningar är skyddad mot manipulation så att den kan förhindra 
SQL-injektioner och liknande angrepp. 

Personuppgifter ska skyddas enligt integritets- och sekretesskrav 
(jämför PUL). Följ datainspektionens allmänna råd ”Säkerhet för 
personuppgifter”. 

När nya tjänster införs på internet ska man alltid göra en 
informationsklassificering för att bestämma identifieringssätt. (Se 
Informationsklassificering.) 

E-tjänster ska sårbarhetstestas av extern part innan de sätts i 
produktion. 

Om informationsklassificeringen ger en säkerhetsprofil lika med 1 
eller 2 för nagon av klassningsparametrarna Atkomstbegränsning, 
Riktighet och Spårbarhet ska stark autentisering användas. 

Om informationsklassificeringen ger en säkerhetsprofil på 3 får 
användarnamn och lösenord användas. 

Användarnamn och lösenord får inte skickas i klartext. De ska 
skyddas mot obehörig avläsning och modifiering. Systemet ska 
även skydda mot att obehöriga kan utnyttja en inloggad eller 
tidigare inloggad session. 

12.2 Korrekt bearbetning i tillämpningar 


Syfte: Att förhindra fel, förlust, obehörig förändring eller missbruk 
av information i tillämpningssystem. 
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Lämpliga säkerhetsåtgärder ska byggas in i verksamhetssystem för 
att säkerställa korrekt bearbetning. Det gäller även egenutvecklade 
tillämpningar och omfattar dessutom validering av indata, intem 
bearbetning och utdata. 

Det kan vara nödvändigt med fler säkerhetsåtgärder för system som 
bearbetar eller kan påverka känslig, värdefull eller kritisk 
information. Sådana åtgärder ska beslutas utifrån säkerhetskrav och 
riskbedömning. 
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Innan driften kan godkännas ska säkerhetsåtgärderna verifieras och 
godkännas av objektsägaren. 

Validering av indata 

Validering av indata sker via rimlighetskontroller på formulärfält. 


12.3 Kryptering 


Syfte: Att med hjälp av kryptering skydda konfidentialitet, 
identifiering och riktighet i informationen. 


- Använd stadsledningskontorets rekommenderade programvaror 
för kryptering. 

- Skydda nycklar och algoritm mot obehörig åtkomst och 
manipulation, minst lika väl som den information kryptot avser 
att skydda. 

- Se upp med möjligheten för obehöriga att ta del av information 
genom avlyssning. 

- Följ stadsledningskontorets ”PM Kryptorekommendationer”, 
där även hanteringen av nycklar ingår. 


12.4 Skydd av systemfiler 


Syfte: Att säkerställa säkerheten för systemfiler. 


o 

Åtkomst till systemfiler och källkod ska styras. It-projekt och 
stödaktiviteter ska utföras på ett säkert sätt. Se till att undvika 
exponering av känsliga data i testmiljöer. 

Skydd av testdata 

Data i testmiljö får inte innehålla verkliga persondata eller 
information som omfattas av sekretess. Om detta inte är möjligt ska 
endast en mycket liten informationsmängd användas. Kopiering av 
produktionsdata ska loggas för att vara spårbar. Dessutom får 
kopiering bara ske efter en skriftlig beställning från projektledare, 
objektsägare eller från objektsförvaltare. Kopieringen registreras i 
ärendehanteringssystem eller motsvarande. 





Riktlinje 
Sida 73 (82) 


12.5 Säkerhet i utvecklings- och 
underhållsprocesser 


Syfte: Att behålla säkerheten i tillämpningssystemens programvara 
och information. 


De chefer som ansvarar för verksamhetssystem ska ansvara för 
säkerheten i test- projekt- eller underhållsmiljön. De ska bland 
annat se till att alla förslag till systemändringar granskas för att på 
så sätt kontrollera att de inte äventyrar säkerheten i vare sig 
systemet eller i driftmiljön. 

Informationsläckor 

Informationsläckor ska förebyggas med teknik och genom 
utbildning. Information som försvunnit ska rapporteras i stadens 
gemensamma system för incidentrapportering. 

12.6 Hantering av tekniska sårbarheter 


Syfte: Att minska riskerna för att publicerade tekniska sårbarheter 
utnyttjas. 


Det är viktigt att i rätt tid hämta in information om den tekniska 
sårbarheten hos informationssystem i drift. Det gäller också att 
bedöma stadens utsatthet för sådan sårbarhet och att sätta in 
lämpliga åtgärder för att hantera risken. 
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13 Hantering av incidenter med 
informationssäkerhet 

13.1 Rapportering av händelser inom 
informationssäkerhet och svagheter 


Syfte: Att se till att händelser som rör informationssäkerheten och 
svagheter hos informationssystem kommuniceras så att de kan 
korrigeras i rätt tid. 


Det ska finnas formella rutiner för händelserapportering och 
eskalering. 

Alla anställda, uppdragstagare och tredjepartsanvändare ska veta 
hur man rapporterar observerade eller misstänkta säkerhetsbrister i 
system eller tjänster som kan påverka säkerheten hos 
organisationens tillgångar. Allvarliga incidenter rapporteras till 
informationssäkerhetsamordnaren, som i sin tur rapporterar till 
stadens informationssäkerhetschef. Använd stadens gemensamma 
verktyg för rapportering av incidenter. Leverantör rapporterar 
enligt rutin i avtal. 

Genom att rapportera incidenter kan man lättare bedöma hotbilden 
och vilka säkerhetsåtgärder som ska prioriteras. Exempel på 
incidenter som ska rapporteras är omfattande virusangrepp, intrång 
eller intrångsförsök samt manipulation eller radering av 
information. 

Ur ”Trygg- och Säkerhetsprogram för Stockholms stad 2013- 
2016”: 

”Förebyggande arbete och beredskap 

Det är viktigt att arbeta med stadens trygghets- och 
säkerhetsarbete även under normala förhållanden. Det är i första 
hand respektive verksamhet som ansvarar för att så sker, men 
övergripande ansvarig för arbetet är Stockholms stads 
riskhanteringsråd och stadsledningskontoret, som ska leda, 
samordna och analysera arbetet. ” 
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13.2 Hantering av incidenter som rör 
informationssäkerhet och förbättringar 


Syfte: Att säkerställa att man använder ett konsekvent och effektivt 
angreppssätt när det gäller hanteringen av incidenter som rör 
informations s äkerheten. 


Det ska finnas en ansvarsfördelning och rutiner för hur man 
effektivt hanterar händelser som rör informationssäkerhet och 
brister så snart de har rapporterats. En process för ständig 
förbättring ska tillämpas när det gäller att reagera på, följa upp, 
värdera och hantera dessa händelser. 

Att lära av incidenter 

Det ska finnas metoder för att kvantifiera och övervaka olika typer, 
volymer och kostnader för incidenter som rör informationssäkerhet. 

Insamling av bevis 

Om en händelse som rör informationssäkerheten kräver att man 
följer upp en person eller en organisation och detta innebär en 
juridisk åtgärd, är det viktigt att man samlar in och bevarar bevis 
för att senare kunna lägga fram dem i civil- eller brottmål. 
Insamlingen av bevis ska ske på ett sätt som stämmer överens med 
lagstiftningen. 
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14 Kontinuitetsplanering för 
verksamheten 

Alla kommuner och landsting ska enligt lag genomföra risk- och 
sårbarhetsanalyser (RSA). Det är ett sätt att identifiera förmågan att 
upprätthålla samhällsviktiga verksamheter vid allvarliga och 
extraordinära händelser. Analyserna ligger till grund för det 
förebyggande säkerhetsarbetet och utgör en beredskap inför 
oönskade händelser. Stockholms stad bedriver ett metodiskt arbete 
för att leva upp till dessa krav. 

Förvaltningar och bolag analyserar årligen sina verksamheters 
förmåga att upprätthålla prioriterade åtaganden och ger förslag på 
hur detta kan förbättras. Stadsledningskontoret använder dessa 
analyser för att ta fram en stadsövergripande bild av risker och 
sårbarheter. 

Olika grad av sårbarhet 

Begreppet sårbarhet är ett mått på robustheten hos en vital resurs 
vid en allvarlig händelse. Resurser med olika sårbarhetsgrad 
reagerar olika på samma händelse och kan därför resultera i olika 
förmåga. Genom att analysera sårbarheterna kan 
stadsledningskontoret bedöma systemrisker och trender som 
påverkar flera verksamheter. På så sätt kan man arbeta utifrån en 
helhetsbedömning. 

Som en del i det arbetet görs en bedömning av stadens 
prioriteringar, det vill säga de verksamheter som staden bedömer är 
så viktiga att de alltid måste kunna upprätthållas. Likaså kan man 
då bedöma de rutiner och fysiska resurser som krävs för att 
upprätthålla ett prioriterat åtagande. 


14.1 Aspekter på informationssäkerheten för 
verksamhetens kontinuitetsplanering 
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Syfte: Att motverka avbrott i stadens verksamhet och att skydda 
kritiska verksamhetsprocesser från konsekvenserna av allvarliga 
fel i informationssystem eller katastrofer samt säkra återstart 
inom rimlig tid. 


Kontinuitetsplanering för verksamheten omfattar, vid sidan om den 
allmänna riskbedömningen, åtgärder för att identifiera och minska 
risker, begränsa konsekvenserna av skadliga incidenter samt 
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säkerställa att den information som krävs för verksamheten är 
tillgänglig. 

Konsekvenserna av störningar, allvarliga händelser och 
extraordinära händelser ska analyseras utifrån hur de påverkar 
verksamheten. 

För att minska konsekvenserna vid allvarliga störningar eller 
avbrott i verksamheter med starkt it-beroende krävs en i förväg 
upprättad och dokumenterad kontinuitetsplan. Motsvarande 
planering för it-verksamheten kallas avbrottsplanering. 
Kontinuitetsplanen ser till att viktiga funktioner kan återställas 
inom rimlig tid och att verksamheten kan fortgå utan it-stöd. 

Processen ska fokusera på den aktuella verksamhetens prioriterade 
åtaganden. Det innebär att åtgärder måste planeras och förberedas 
så att verksamheten kan upprätthållas trots allvarliga störningar och 
avbrott. 

Ett samlat ramverk för kontinuitetsplanering bör finnas för att 
säkerställa att alla planer är konsekventa, att kraven på 
informationssäkerhet behandlas konsekvent och för att fastställa 
prioriteringar för test och underhåll. 

Det är viktigt att regelbundet testa och uppdatera kontinuitetsplaner 
så att de alltid är aktuella och verkningsfulla. 

I SLA, som ingår i drift- och förvaltningsavtal, ska ansvaret för 
avbrottsplanen framgå. (Se Anvisningar för systemplanering och 
system godkännande). 

Verksamhetsansvarig chef ansvarar för att det finns en 
dokumenterad kontinuitetsplan för klassificerade system med 
Tillgänglighet nivå 1 eller 2 som används i verksamheten. 

Kontinuitetsplanen ska omfatta följande: 

- Ansvar och befogenheter för viktiga rollinnehavare. 

- Informationskanaler och vilka man informerar. 

- Reservplaner för olika händelser. 

- Plan för återgång till normalläge. 

- Plan för återtagning av förlorad information och annat av 
vikt. 

- Rutin för uppdatering av kontinuitetsplanen. 
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Avbrottsplanering 

För att minska konsekvenserna vid allvarliga produktionsstopp 
behövs en avbrottsplan. Planering ska vara inriktad på återstart av 
it-systemen enligt den beslutade prioritetsordningen och ska 
säkerställa att det finns information tillgänglig på den nivå som 
krävs och inom rimlig tid. 

Om verksamheten använder system som klassificerats med 
tillgänglighetskrav i nivå 1 eller 2 ska en avbrottsplan upprättas av 
objektsförvaltare. 

Avbrottsplanen ska omfatta följande: 

- Ansvar och befogenheter för kritiska rollinnehavare. 

- Informationskanaler och uppgift om vilka man informerar. 

- Alternativ för reservdrift. 

- Rutin för återstart. 

- Behov av utrustning och reservdelar. 

- Rutin för att uppdatera avbrottsplanen. 

Vidare innehåller en avbrottsplan tre delar: 

- Del A redovisar verksamhetens prioriterade 
åtaganden. 

- Del B redovisar verksamhetsspecifika åtgärder. 

- Del C redovisar vilka åtgärder it-organisationen eller stadens 
leverantörer vidtar för att så snart som möjligt få tillbaka 
systemen i drift. 

Den tekniskt systemansvarige ansvarar för att hålla avbrottsplan del 
C aktuell. 


Att inkludera informationssäkerhet i verksamhetens 
kontinuitetsplanering 

En ledningsprocess för kontinuitetsplanering i hela verksamheten 
ska utvecklas och underhållas. Processen behandlar de krav på 
informationssäkerhet som behövs för att hålla igång stadens 
verksamhet. 
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Riskanalys 

Riskanalysen ska på ett systematiskt sätt granska och identifiera hot 
och risker i verksamheten, bedöma konsekvenserna och ge förslag 
på hur man kan minimera hoten. Deltagare i en riskanalys ska ha 
kunskap om och erfarenhet från den verksamhet som ska 
analyseras. 

Riskanalysen ska genomföras för klassificerade system nivå 1 eller 
2. Använd stadens rekommenderade metod. 

Arbetsgång: 

- Identifiera hoten mot verksamheten. 

- Bedöm konsekvenserna om hoten förverkligas. 

- Fastställ vilken verksamhetsnivå som ska upprätthållas. 

- Ange vilka reservrutiner som behövs. 

- Prioritera återstartsordningen om flera system är berörda. 

Detta förutsätter en beskrivning av systemens inbördes samband. 
Stadens rekommenderade metoder finns i Handbok för Riskanalys, 
(HRI). 
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15 Efterlevnad 

En väl fungerande informationshantering bidrar till att staden kan 
fullgöra sina uppgifter. Därför är det viktigt att följa lagar och 
förordningar samt aktuella regelverk. 

15.1 Efterlevnad av rättsliga krav 


Syfte: Att undvika överträdelser av lagar, författningar eller 
avtalsförpliktelser samt andra säkerhetskrav. 


Identifiering av lagstiftning 

Krav i författningar och i avtal, liksom organisationens sätt att 
uppfylla dessa krav, ska definieras, dokumenteras och hållas 
uppdaterade för varje informationssystem och för organisationen 
som helhet. 

Minimikraven för informationssäkerhet fastställs i lagar och 
förordningar. Tryckfrihetsförordningen ställer krav på att allmänna 
handlingar ska vara tillgängliga, medan offentlighets- och 
sekretesslagen inskränker på handlingars offentlighet. 

Immaterialrätt 

Ur ”it-program Ett program för digital förnyelse 2013-2018”: 

”Stadens hantering av programvarulicenser ska vara gemensam 
och skötas av en för samtliga nämnder och bolag gemensamt 
upphandlad part. Denne benämns stadens licensadministratör. 1 
licensadministratörens uppgifter ingår att säkerställa att licenser 
köps på rätt avtal, att licenser återanvänds där det är möjligt och 
att stadens verksamheter har tillgång till statistik över 
licensutnyttjande i stadens it-miljö. Programvaror ska användas i 
enlighet med avtal och licensregler. ” 

Skydd av stadens register och andra redovisande dokument 

Organisationens viktiga register och andra redovisande dokument 
ska skyddas mot förlust, förstörelse och förfalskning enligt 
författnings-, avtals- och verksamhetskrav. 

Skydd av personuppgifter 

Data- och integritets skyddet ska säkerställas enligt lagstiftning och 
avtalsklausuler, till exempel om samtycke. Detta ska även regleras 
med utomstående parter och externa leverantörer. 

Hanteringen av personuppgifter i it-system ska dokumenteras och 
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anmälas till personuppgiftsombud. Det sker bland annat i samband 
med informationsklassificeringen. 

Personuppgiftsansvarig 

En personuppgiftsansvarig är den som ensam eller tillsammans 
med andra bestämmer syftet med och medlen för behandling av 
personuppgifter. Personuppgiftsansvarig är normalt en juridisk 
person, till exempel aktiebolag, stiftelse eller förening, eller den 
myndighet som bestämmer vilka uppgifter som ska behandlas och 
vad uppgifterna ska användas till. 

Personuppgiftsombud 

Ett personuppgiftsombud är en person, ofta en anställd, som ser till 
att personuppgifter behandlas korrekt och lagligt inom en 
verksamhet. Personuppgiftsombudet kan jämföras med en 
intemrevisor som påpekar fel och brister till den som är 
personuppgiftsansvarig. Ombudet ska föra en förteckning över 
register och annan behandling av personuppgifter. Han eller hon 
hjälper även registrerade att rätta felaktiga uppgifter. 

Personuppgiftsbiträde 

Personuppgiftsbiträde är den som behandlar personuppgifter för 
den personuppgiftsansvariges räkning. Ett biträde finns alltid 
utanför den ansvariges organisation och kan vara en servicebyrå 
som behandlar personuppgifter på uppdrag av ett aktiebolag eller 
en myndighet. 

Personuppgiftsbiträdet får bara behandla personuppgifterna enligt 
givna instruktioner och riktlinjer från den personuppgifts- 
ansvarige. Biträdet bestämmer alltså inte själv i vilket syfte 
personuppgifterna ska behandlas. Både juridiska och fysiska 
personer kan vara biträde. 

Även om en personuppgiftsansvarig anlitar ett biträde är det alltid 
han eller hon som har ansvaret gentemot de registrerade. 
Personuppgiftsans varet kan inte överlåtas. De personer, vars 
uppgifter behandlas, har alltid rätt att vända sig till den 
personuppgiftsansvarige för att ställa eventuella krav eller klaga på 
felaktig behandling av personuppgifter. 

Att förhindra missbruk av resurser för 
informationsbehandling 

Missbruk av resurser för informationsbehandling ska förebyggas 
med teknik och utbildning. 
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Reglering av kryptering 

Se ”PM Kryptorekommendationer”, Fömyelseavdelningen. 


15.2 Efterlevnad av säkerhetspolicyer, standarder 
och teknisk efterlevnad 


Syfte: Att säkerställa att system följer organisationens 
säkerhetspolicyer och säkerhetsstandarder. 


Chefer på samtliga nivåer ska se till att alla säkerhetsrutiner inom 
deras respektive ansvarsområden utförs korrekt. 

Informationssystem ska regelbundet kontrolleras när det gäller 
efterlevnad av riktlinjer. 

15.3 Överväganden vid revision av 
informationssystem 


Syfte: Att maximera revisionens verkan och att minimera 
störningar på eller från it-revisionen. 
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Revision av it-system ska planeras, överenskommas och 
regelbundet genomföras för att minska risken för störningar i 
verksamhetsprocesserna. 

Riktlinjerna för arbetet med informationssäkerhet ska granskas och 
revideras varje år för att se om betydande förändringar har inträffat 
inom staden, säkerställa att riktlinjerna fortfarande är relevanta och 
inte står i strid med lagstiftningen och att de följer den tekniska 
utvecklingen. Informationssäkerhetschefen ansvarar för det arbetet. 

Säkerhetsåtgärder för revision av informationssystem 

Revisionens krav och åtgärder som omfattar kontroller av system i 
drift ska planeras noggrant och godkännas för att minimera risken 
för störningar i verksamhetsprocesser. 

o 

Åtkomst till granskningsverktyg för informationssystem ska 
begränsas för att hindra eventuellt missbruk eller otillåten 
påverkan. 





